引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇企業(yè)網(wǎng)絡(luò)安全整改范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

1、制定下發(fā)公司《企業(yè)郵箱使用管理辦法》，并做好對公司本部及下屬公司企業(yè)郵箱的維護使用工作。

2、梳理公司及下屬企業(yè)網(wǎng)站現(xiàn)狀，指導各企業(yè)對接IPV6改造事項，目前各企業(yè)初步方案已基本確定，正在履行各自審批程序。

3、配合集團企管部完成公司本部網(wǎng)絡(luò)安全的檢查工作，并就檢查出的問題制定整改方案。

4、按照集團公司要求，繼續(xù)做好公司網(wǎng)絡(luò)安全的防護工作，及時對的漏洞進行修復，并指導督促下屬存在網(wǎng)站漏洞的企業(yè)盡快完成整改工作。

5、持續(xù)對OA系統(tǒng)進行改進完善工作，并完成定期的數(shù)據(jù)備份工作。

四季度工作計劃：

1、公司本部完成網(wǎng)站的測試、IPV6改造、上線工作，且自網(wǎng)站正式上線后，做好對網(wǎng)站安全的動態(tài)管理工作。

2、指導督促下屬企業(yè)完成網(wǎng)站的IPV6改造，并按照月度定期向集團公司匯報工作進度。

3、鑒于OA系統(tǒng)已運行5年，系統(tǒng)中積累大量流程痕跡及文檔內(nèi)容，因上線后系統(tǒng)維護、數(shù)據(jù)備份工作均為自行負責維護，系統(tǒng)一直未進行更新及漏洞補丁修復，為防止系統(tǒng)或服務器意外損壞而導致的系統(tǒng)故障，擬于四季度制定OA系統(tǒng)售后服務及數(shù)據(jù)實時備份方案，待領(lǐng)導審議通過后適時實施。

第2篇

為進一步提升全員網(wǎng)絡(luò)安全意識，增強企業(yè)網(wǎng)絡(luò)安全風險管控水平，近日，xx市局（公司)以“網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民”為主題，扎實開展“國家網(wǎng)絡(luò)安全宣傳周”活動，營造起良好的網(wǎng)絡(luò)安全環(huán)境。

加強組織領(lǐng)導，層層分解責任。結(jié)合工作實際，制定“國家網(wǎng)絡(luò)安全宣傳周”活動計劃，健全網(wǎng)絡(luò)安全管理組織機構(gòu)，細化安全主體責任和監(jiān)管責任，落實終端病毒防控、日常運維監(jiān)測、系統(tǒng)隱患整改等方面的管控措施，嚴防網(wǎng)絡(luò)安全事故發(fā)生。

加強宣傳引導，增強安全意識。強化網(wǎng)絡(luò)風險宣傳，定期通過微信群、微信公眾號等方式，對網(wǎng)絡(luò)詐騙手段、個人信息保護措施等進行專題推送；充分利用電梯間展示終端“使用頻繁、受眾廣泛”特點，選取網(wǎng)絡(luò)安全警示教育短片，進行全天滾動播出，引導全員了解網(wǎng)絡(luò)安全風險，培養(yǎng)安全意識。

加強教育培訓，有效防范風險。組織信息化方面骨干力量，到青島市局（公司）、xx中百集團等單位學習網(wǎng)絡(luò)安全風險管控措施和經(jīng)驗；邀請信息化安全方面專家，采用觀看網(wǎng)絡(luò)安全警示教育片、實例講解、模擬故障處理等形式對網(wǎng)絡(luò)安全知識進行培訓，進一步提高網(wǎng)絡(luò)安全辨別能力和防御能力。

加強日常管控，提升應急處置能力。聯(lián)合專業(yè)機構(gòu)，對應用系統(tǒng)、網(wǎng)絡(luò)核心設(shè)備等重點部位進行檢測，查找安全漏洞，采取有效防護措施；按照網(wǎng)絡(luò)安全應急預案演練方案，組織信息化部門人員定期演練，針對發(fā)現(xiàn)的問題，及時修訂完善應急預案，切實提升突發(fā)事件應急處置能力。

第3篇

關(guān)鍵詞：網(wǎng)絡(luò)管理；ARP欺騙；ARP病毒攻擊；IP地址管理；排查與防控手段

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1006-8937（2012）26-0076-04

回顧企業(yè)網(wǎng)絡(luò)安全運行維護工作，有必要總結(jié)歸納近年來企業(yè)級網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)管理體系結(jié)構(gòu)有效維護經(jīng)驗，有效利用網(wǎng)絡(luò)管理防范與處理ARP欺騙、攻擊相關(guān)經(jīng)驗。

從近年的網(wǎng)絡(luò)運維，網(wǎng)絡(luò)管理人員不斷接到網(wǎng)絡(luò)用戶反映——“所在的網(wǎng)絡(luò)在上網(wǎng)應用時網(wǎng)絡(luò)時斷時通，有時基本處于無法使用的狀態(tài)”。而與此同時網(wǎng)絡(luò)流量管理在對相應網(wǎng)段的監(jiān)控中又沒有異常情況發(fā)生，所以一時間很難使用常規(guī)的網(wǎng)絡(luò)管理手段、經(jīng)驗加以判斷與網(wǎng)絡(luò)定位，從而給網(wǎng)絡(luò)管理與網(wǎng)絡(luò)維護提出了新挑戰(zhàn)。

由于這種網(wǎng)絡(luò)故障來的較突然，既沒有可以參考的經(jīng)驗，又沒有可用的網(wǎng)絡(luò)協(xié)議分析儀等條件進行客觀數(shù)據(jù)的實地采集，所以我們一開始采用的方法就是在網(wǎng)絡(luò)交換機處對網(wǎng)段進行人為手工的“再細分”，用逐段排除法對有問題的PC機進行定位后再采取整治方法，但這種方法費時費力，排除故障時間長。通過對故障網(wǎng)絡(luò)現(xiàn)場觀察和體會，加上對網(wǎng)絡(luò)TCP/IP協(xié)議的分析后，得出對ARP網(wǎng)絡(luò)欺騙和ARP網(wǎng)絡(luò)病毒攻擊的初步感性、理性雙重認識。那就是如何認識ARP欺騙與攻擊的共同點和區(qū)別，采取有效的防控手段來遏制這些網(wǎng)絡(luò)安全威脅。

1 ARP欺騙分析

ARP協(xié)議是一種將IP轉(zhuǎn)化成以IP對應網(wǎng)卡的物理地址的協(xié)議，或者說ARP協(xié)議是將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議。它靠內(nèi)存中保存的一張表來使IP得以在網(wǎng)絡(luò)上被目標機器應答。在我們企業(yè)網(wǎng)絡(luò)架構(gòu)的Vlan中，以太網(wǎng)的每一幀有兩種方式傳輸。一種對外傳，就是用戶有一個需求，當需要透過路由將網(wǎng)絡(luò)幀轉(zhuǎn)發(fā)到別的Vlan時，需要通過本地Vlan的網(wǎng)關(guān)。另外一種是內(nèi)傳，當有用戶需求就在本身這個Vlan網(wǎng)絡(luò)中時就不需要網(wǎng)關(guān)了。

當遇到ARP欺騙的時候，我們就會發(fā)現(xiàn)原本發(fā)送給本地Vlan網(wǎng)關(guān)的數(shù)據(jù)幀，沒有得到本地Vlan網(wǎng)關(guān)MAC正確的回應。從而導致用戶任何應用都沒有辦法使用了，就感覺到反復“掉線”或者“斷線”，網(wǎng)絡(luò)好像處在“震蕩”中，迫使網(wǎng)絡(luò)用戶重新啟動自己的計算機以期重新獲得聯(lián)網(wǎng)的需求，此時正好中了欲進行ARP欺騙計算機的“招”，當用戶在重新啟動自己計算機獲得IP地址和本網(wǎng)段網(wǎng)關(guān)MAC地址時，進行ARP欺騙的計算機就會以自己網(wǎng)卡的MAC地址代替本網(wǎng)段網(wǎng)關(guān)的MAC地址，以至于給用戶一個重新獲得上網(wǎng)的感覺，其實用戶這時所有的外傳以太網(wǎng)幀全部發(fā)給了正在行使ARP欺騙的計算機，這就是ARP欺騙在一個Vlan中的基本原理。

進行網(wǎng)絡(luò)ARP欺騙的計算機在進行MAC欺騙的過程中，會將已知某其它主機的MAC地址用來使目標交換機向欺騙計算機轉(zhuǎn)發(fā)以該主機為目的地址的數(shù)據(jù)幀。通過發(fā)送帶有該主機以太網(wǎng)源地址的單個數(shù)據(jù)幀辦法，網(wǎng)絡(luò)欺騙計算機改寫了CAM表格中的條目，使得交換機將以該主機為目的地址的數(shù)據(jù)包轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)實施ARP欺騙的計算機。除非該主機重新啟動PC并從網(wǎng)絡(luò)中獲取地址時CAM表中對應的條目會被再次改寫，以便它能恢復到原始的端口。但是否會再次受到ARP的MAC欺騙就取決于本網(wǎng)段中是否存在這樣的欺騙計算機了。

網(wǎng)絡(luò)欺騙——MAC的欺騙從來不會停止于只在本網(wǎng)段內(nèi)進行“欺騙”，它很快就演變?yōu)榕c網(wǎng)絡(luò)病毒相結(jié)合的具有網(wǎng)絡(luò)攻擊特征的更具傳染與殺傷力的——“地址解析協(xié)議（ARP）攻擊”。

當有人在未獲得授權(quán)就企圖更改MAC和IP地址ARP表格中的信息時，就發(fā)生了ARP攻擊。通過這種方式，黑客們可以偽造MAC或IP地址，以便實施如下的兩種攻擊：“服務拒絕”和“中間人攻擊”。

目前以“服務拒絕”演變出來的攻擊以網(wǎng)絡(luò)上多種病毒為主，它們會發(fā)送假冒的ARP報文，比如發(fā)送網(wǎng)關(guān)IP地址的ARP報文，把網(wǎng)關(guān)的IP對應到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的ARP報文在網(wǎng)絡(luò)中廣播，所有的內(nèi)部PC就會更新了這個IP和MAC的對應表，下次上網(wǎng)的時候，就會把本來發(fā)送給網(wǎng)關(guān)的MAC的報文，發(fā)送到一個不存在或者錯誤的MAC地址上去，這樣就會造成網(wǎng)絡(luò)斷線了。

這就是ARP地址欺騙攻擊，造成內(nèi)部PC和外部網(wǎng)的斷線，該病毒在滿足一定條件的時候會表現(xiàn)的特別猖獗。也對企業(yè)內(nèi)部分局部網(wǎng)段造成非物理“斷網(wǎng)”的中斷網(wǎng)絡(luò)破壞，由于它與網(wǎng)絡(luò)病毒相結(jié)合，所以無論在傳播的速度和攻擊特性都有較大的“聚變”，ARP 地址欺騙攻擊的實施是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙的同時，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞或者實現(xiàn)“中間人攻擊”（man in the middle） ，進行ARP重定向和嗅探攻擊。當攻擊源大量向局域網(wǎng)中發(fā)送虛假的ARP信息后，就會造成局域網(wǎng)中機器ARP緩存的崩潰。

下面給出ARP欺騙攻擊在Vlan229網(wǎng)絡(luò)交換機上所看到的特征。

3 原因分析

從對感染ARP欺騙的欺騙攻擊病毒計算機進行現(xiàn)場查殺和計算機系統(tǒng)安全基本要求方面的檢查來看，這些計算機大多存在如下的共同特征：

①系統(tǒng)安全補丁嚴重缺失，有的Winxp在SP2后只有一個補丁，所以補丁缺少很多（約兩年）。

②計算機開機進入系統(tǒng)時幾乎都缺少系統(tǒng)應有的“口令”。有的只有弱口令。

③大部分這樣的計算機系統(tǒng)無防病毒軟件或沒有及時對防病毒軟件升檔，特別是企業(yè)網(wǎng)絡(luò)中使用的Symantec通知升級后不執(zhí)行升級就導致防病毒策略與防病毒代碼無法及時更新。

④有的網(wǎng)絡(luò)用戶違規(guī)下載并安裝“網(wǎng)絡(luò)游戲”或使用帶毒的“實時通信軟件”所至，如“傳奇”和“QQ”等。

⑤有的部門信息聯(lián)絡(luò)員沒有及時將計算機安全基本要求宣傳到位。

⑥有的部門領(lǐng)導忙于生產(chǎn)而無法具體落實計算機系統(tǒng)安全的相關(guān)規(guī)章制度。

4 利用網(wǎng)絡(luò)管理防范與處理

4.3 對主要網(wǎng)絡(luò)應用進行必要的網(wǎng)絡(luò)細分

從對企業(yè)總部大樓十二樓Vlan241和原基建大樓Vlan226網(wǎng)絡(luò)的整改后的使用效果來看，網(wǎng)絡(luò)規(guī)劃在必要的網(wǎng)段上要從多方面考慮網(wǎng)絡(luò)應用的實際需要，特別是要從防控類似ARP欺騙和欺騙攻擊病毒上考慮對重要網(wǎng)段的“細分”工作。企業(yè)總部大樓十二樓和基建大樓的網(wǎng)絡(luò)在被“細分”后，實際使用和管理上較整改以前都有較好的網(wǎng)絡(luò)使用和網(wǎng)絡(luò)安全的效果，充分說明了這一點。

4.4 用網(wǎng)絡(luò)管理軟件和工具軟件進行預防

充分利用網(wǎng)絡(luò)管理軟件的“IP地址管理”在MAC與IP綁定上的作用，對企業(yè)網(wǎng)絡(luò)上運行的計算機系統(tǒng)進行全天候不間斷的監(jiān)控，再利用類似于Antiarp這樣的工具軟件對有問題故障網(wǎng)段進行現(xiàn)場“抓獲”。

5 結(jié) 語

在我們這樣大型國有企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)故障錯綜復雜，不借助專業(yè)網(wǎng)絡(luò)管理軟件和認真細致地對網(wǎng)絡(luò)故障分析，很難對非物理性網(wǎng)絡(luò)故障，類似ARP欺騙和欺騙類攻擊病毒引起的網(wǎng)絡(luò)故障進行排查帶來很大的困難，同時會給網(wǎng)絡(luò)產(chǎn)生巨大的安全威脅。

所以，對于企業(yè)的網(wǎng)絡(luò)運行，需要網(wǎng)絡(luò)管理人員充分利用網(wǎng)絡(luò)管理工具，對網(wǎng)絡(luò)進行長期有效的監(jiān)測和分析，才能最大程度地排除可能的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)安全威脅。然而計算機系統(tǒng)安全是與各個使用計算機的企業(yè)網(wǎng)絡(luò)終端用戶密切相關(guān)的，計算機安全必須及時、有效地去“實施”的觀念離實際的網(wǎng)絡(luò)安全要求還相差的甚遠，僅靠企業(yè)每年要求信息中心利用“總廠例行崗檢”和“計算機系統(tǒng)專項安全大檢查”的方法來維持網(wǎng)絡(luò)安全，那是無法適應日益變換和增長的網(wǎng)絡(luò)安全需要的。

近年來在網(wǎng)絡(luò)安全運維實踐中在技術(shù)層面上總結(jié)出一些行之有效方法，讓參加企業(yè)IT網(wǎng)絡(luò)運維的同行們能有效地共享，充分利用網(wǎng)絡(luò)管理系統(tǒng)已有的功能，深化網(wǎng)絡(luò)與信息系統(tǒng)的安全運行具有重要意義。

參考文獻：

第4篇

關(guān)鍵詞安全隱患；網(wǎng)絡(luò)安全；防火墻；防病毒；入侵檢測；安全評估

Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.

Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment

中圖分類號：TU714文獻標識碼：A 文章編號：

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)惡意攻擊者的技術(shù)也在不斷的改進和創(chuàng)新。網(wǎng)絡(luò)信息安全由安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、災難恢復等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡(luò)的安全性。以前簡單的網(wǎng)絡(luò)邊界安全解決方案，已經(jīng)不能從整體上解決企業(yè)網(wǎng)絡(luò)安全隱患，因此在公司單位制定一套合理的整體網(wǎng)絡(luò)安全規(guī)劃，顯得尤為重要。

一、信息網(wǎng)絡(luò)安全管理存在的安全隱患

（1）外部非法接入。包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與公司網(wǎng)絡(luò)的連接，而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。

（2）局域網(wǎng)病毒、惡意軟件的泛濫。公司內(nèi)部員工對電腦的了解甚少，沒有良好的防范意識，造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到正常的日常辦公。

（3）資產(chǎn)管理失控。網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換，每個終端硬件配備（硬盤、內(nèi)存等）肆意組裝拆卸，操作系統(tǒng)隨意更換，各類應用軟件胡亂安裝卸載，各種外設(shè)無節(jié)制使用。

（4）網(wǎng)絡(luò)資源濫用。IP地址濫用，流量濫用，甚至工作時間聊天、游戲、瘋狂下載等行為影響工作效率，影響網(wǎng)絡(luò)的正常使用。

（5）內(nèi)部非法外聯(lián)。內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進行在線違規(guī)撥號上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計算機帶出網(wǎng)絡(luò)進入其它網(wǎng)絡(luò)。

（6）重要信息泄密。因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導致組織內(nèi)部重要信息泄漏或毀滅，造成不可彌補的重大企業(yè)損失。

（7）補丁管理混亂。終端用戶不了解系統(tǒng)補丁的狀態(tài)，不能及時打補丁，也沒有辦法統(tǒng)一進行補丁的下載、分析、測試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道。

（8）“灰色網(wǎng)絡(luò)”的存在。即單位信息網(wǎng)絡(luò)管理人員對自己所擁有的網(wǎng)絡(luò)不是太了解，不能識別可能被利用的已知弱點，選擇合適的網(wǎng)絡(luò)安全設(shè)備并及時保證設(shè)備的策略符合性；工作中疏忽大意等造成對網(wǎng)絡(luò)的影響。

（9）沒有建立完善的管理體系。配置再完善的防火墻、功能再強大的入侵檢測系統(tǒng)、結(jié)構(gòu)再復雜的系統(tǒng)密碼等也擋不住內(nèi)部人員從網(wǎng)管背后的一瞥。在公司各單位存在信息網(wǎng)絡(luò)安全管理制度不明確合理、宣傳不力、管理不善等現(xiàn)象，造成執(zhí)行者執(zhí)行手段匱乏或執(zhí)行艱難。

二、網(wǎng)絡(luò)安全管理應對措施探討

對嚴峻的網(wǎng)絡(luò)安全形勢，如何保證網(wǎng)絡(luò)安全并有效防止入侵事件的發(fā)生，成為擺在每個網(wǎng)絡(luò)管理人員面前的難題。

（1）根據(jù)需求部署安全產(chǎn)品。首先要部署防火墻。它是執(zhí)行安全策略的主要手段。其次，可以考慮IDS(入侵檢測系統(tǒng))，以便對發(fā)生在防火墻后面的違規(guī)行為進行檢測，做出反應。其他的比如防病毒軟件、VPN產(chǎn)品、IPS等，對企業(yè)網(wǎng)絡(luò)的安全防護也都起著重要的作用。

（2）制定完整的安全策略。安全策略是制定所有安全決策的基礎(chǔ)，一個完整的安全策略會幫助企業(yè)網(wǎng)絡(luò)使用者校正一些日常但有威脅性的紕漏，并使之在保護網(wǎng)絡(luò)安全時做出一定的決定。強制執(zhí)行的安全策略提供貫徹組織機構(gòu)的連續(xù)性；當對攻擊行為做出響應時，安全策略是首先考慮的資源；安全策略可以變動，也可以根據(jù)需要隨時更新；當安全策略變化時，要讓所有員工知道其重要性并遵守。

（3）制定完善的日志策略。日志是網(wǎng)絡(luò)管理員調(diào)查網(wǎng)絡(luò)入侵行為的必要工具，可以報告網(wǎng)絡(luò)異常，跟蹤入侵者的蹤跡，因此制定一個完善的日志策略對企業(yè)網(wǎng)絡(luò)安全很重要。

（4）進行定期的安全評估。相應的安全策略制定完成并實施后，就應當對企業(yè)網(wǎng)絡(luò)進行定期的安全評估。可以定期的請第三方網(wǎng)絡(luò)安全公司進行網(wǎng)絡(luò)安全咨詢，找出漏洞、分析漏洞及時降低風險。

（5）建立有效的應急響應機制。要擬定一份緊急事件應變措施，以便在事情發(fā)生、安全體系失效時發(fā)揮作用。應急措施應說明：緊急事件發(fā)生時報告給誰？誰負責回應？誰做決策？應急措施的制定要本著“企業(yè)損失最小化”的原則，體現(xiàn)出在業(yè)務中斷時間盡量短、數(shù)據(jù)丟失盡量少、網(wǎng)絡(luò)恢復盡量快等方面。

三、采取多種技術(shù)措施，保障網(wǎng)絡(luò)與信息安全

（1）防火墻技術(shù)。安裝防火墻，實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離。通過包過濾技術(shù)實現(xiàn)允許或阻止訪問與被訪問的對象，對通過內(nèi)容過濾保護網(wǎng)絡(luò)用戶合法有效地使用各種網(wǎng)絡(luò)對象；通過NAT技術(shù)實現(xiàn)動態(tài)地址轉(zhuǎn)換，使受保護的內(nèi)部網(wǎng)絡(luò)的全部主機地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址，這不僅可以對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址，也可以保護內(nèi)部網(wǎng)絡(luò)的安全。

（2）入侵檢測系統(tǒng)檢測的主要方法。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。靜態(tài)配置分析：通過檢查系統(tǒng)的當前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞；異常性檢測方法：是一種在不需要操作系統(tǒng)及其防范安全性缺陷專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢測冒充合法用戶的入侵者的有效方法；基于行為的檢測方法：通過檢測用戶行為中那些與已知入侵行為模式類似的行為、那些利用系統(tǒng)中缺陷或間接違背系統(tǒng)安全規(guī)則的行為，來判斷系統(tǒng)中的入侵活動。

（3）防病毒方面。應用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系；在核心機房和部分二級單位選擇部署諸如Symantec等防病毒服務器，按照分級方式，從總部、地區(qū)、下屬單位逐級安裝病毒服務器，實行服務器到終端機強制管理方式，實現(xiàn)逐級升級病毒定義文件，制定定期病毒庫升級與掃描策略，建立系統(tǒng)運行維護和公司防病毒技術(shù)支持相關(guān)人員，為公司員工使用的計算機終端加強了防病毒與查殺病毒的能力。

（4）桌面安全管理系統(tǒng)。桌面安全管理系統(tǒng)可以從技術(shù)層面幫助管理人員處理好繁雜的客戶端問題。其目標是要建立全面可靠的桌面安全防護體系，管理和保護桌面軟件系統(tǒng)，為各應用系統(tǒng)創(chuàng)造穩(wěn)定、可靠和安全的終端使用環(huán)境，有力支撐企業(yè)的業(yè)務和信息化發(fā)展，確保信息安全。

（5）網(wǎng)絡(luò)安全評估。建議每年定期請專業(yè)的安全咨詢公司對企業(yè)內(nèi)部的網(wǎng)絡(luò)安全、關(guān)鍵服務器群、物理安全等方面做整體的安全體系的評估與安全加固，并提出一系列應對策略和應急方案，及時發(fā)現(xiàn)存在的各類威脅并進行有效整改，提高網(wǎng)絡(luò)的安全級別。網(wǎng)絡(luò)安全評估是建立安全防護體系的前提工作，是信息安全工作的基礎(chǔ)和重點。

（6）操作系統(tǒng)安全策略管理。由企業(yè)相關(guān)技術(shù)部門制定出一套操作系統(tǒng)安全管理策略配置說明書，詳細講解對操作系統(tǒng)安全策略的配置和管理，包括帳戶密碼策略、帳戶鎖定策略、審核策略、目錄共享策略、屏保策略、補丁分發(fā)策略等，對客戶端操作系統(tǒng)的安全性進行必要的設(shè)置，使其能夠關(guān)閉不必要的服務和端口、避免弱口令、刪除默認共享、及時更新系統(tǒng)補丁等，消除操作系統(tǒng)級的安全風險。

（7）信息的安全存儲與安全傳輸。信息的存儲安全是各業(yè)務系統(tǒng)的重點，信息的安全傳輸是機密信息交換的保證。對于數(shù)據(jù)存儲量較大的應用系統(tǒng)，可合理地選擇存儲架構(gòu)，如采用存儲區(qū)域網(wǎng)（storage area network，SAN），實現(xiàn)最大限度的數(shù)據(jù)共享和可管理性；采用RAID技術(shù)，合理的冗余硬件來保證存儲介質(zhì)內(nèi)數(shù)據(jù)的可靠性；采用合理的備份策略，如定期完全備份、實時增量備份、異地容災備份、多介質(zhì)備份等來保證信息的可用性、可靠性、可管理性、可恢復性；制定和實施嚴密的數(shù)據(jù)使用權(quán)限；針對機密信息的網(wǎng)上傳輸、數(shù)據(jù)交換采取加密后傳輸。

（8）安全管理。網(wǎng)絡(luò)信息安全是一項復雜的系統(tǒng)工程，安全技術(shù)和安全設(shè)備的應用可起到一定的作用。建立和完善各種安全使用、管理制度，明確安全職責；建立如突發(fā)事件的應對預案；加強對網(wǎng)絡(luò)使用人員、網(wǎng)絡(luò)管理人員的安全教育，樹立安全觀念，提高安全防范意識，減少潛在的安全隱患；建設(shè)一支高水平的網(wǎng)絡(luò)管理、信息安全管理隊伍，定期進行安全風險評估和策略優(yōu)化。

（9）應用網(wǎng)絡(luò)信息安全管理技術(shù)正確面對網(wǎng)絡(luò)信息安全漏洞。目前，市場上各類網(wǎng)絡(luò)管理設(shè)備（網(wǎng)絡(luò)交換機、防火墻、入侵檢測/防護系統(tǒng)、防病毒系統(tǒng)等）從技術(shù)角度來講都已經(jīng)成熟，我們只要選擇知名品牌的信得過產(chǎn)品，對其進行合理的利用，對保障企業(yè)的網(wǎng)絡(luò)信息安全能夠起到積極作用。

五、結(jié)束語

建立完善的安全制度和安全響應方案，盡快建立起有效的信息安全防護體系，管理員加強自身學習和責任感，并不斷加強和培養(yǎng)員工的安全意識，讓公司每一位員工在意識和行動上都成為安全的“衛(wèi)士”。只有這樣，我們才能共同保障好企業(yè)的信息網(wǎng)絡(luò)安全。通過網(wǎng)絡(luò)軟件與硬件產(chǎn)品的結(jié)合，正確合理地使用各種安全策略和實施手段，相信會建立一套全面、安全、易于使用管理的配套設(shè)施，將網(wǎng)絡(luò)信息安全隱患減至最小。只有這樣，才能確保公司的網(wǎng)絡(luò)信息暢通、信息安全，才能實現(xiàn)公司信息化建設(shè)更好的服務公司的生產(chǎn)經(jīng)營。

參考文獻：

第5篇

關(guān)鍵詞：軍工企業(yè)；網(wǎng)絡(luò)信息；安全問題

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 17-0000-01

Study on Military Enterprise Information Security Issues

Su Bin,Sun Hailong

(Shenyang Liming Aero-Engine Group Co.,Data Center,Shenyang110043,China)

Abstract:The military enterprises in the national economy and play all important role,along with in-depth informationtechnology,network information security issues are also increasingly prominent.This inform ation from the afected area enterprisenetwork security defense several major f-act0rs.discusses military emerprise network information security solutions.

Keywords:Military enterprises;Network information;Security issues

隨著社會信息化建設(shè)進程加快，軍工企業(yè)對計算機網(wǎng)絡(luò)信息安全的威脅，需要不斷采取自動化的方法，來提高計算機網(wǎng)絡(luò)信息的安全性。密碼編碼學技術(shù)給計算機網(wǎng)絡(luò)信息安全帶來了新的革命，在網(wǎng)絡(luò)的各個層面上實現(xiàn)信息安全，提高保密性和認證的密碼編碼算法顯得更為重要，確保計算機網(wǎng)絡(luò)信息的安全已經(jīng)成為社會所關(guān)注的熱點問題。

一、軍工企業(yè)信息安全問題分析

（一）設(shè)備中的漏洞問題

當前，軟硬件的漏洞無處不在。眾所周知，計算機網(wǎng)絡(luò)的主要軟硬件大多依賴進口。這些軟硬件都存在大量的安全漏洞，極易給病毒、隱蔽信道和可恢復密碼等開辟捷徑，極易為他人利用。每當發(fā)現(xiàn)新的漏洞，就會在短短的幾分鐘內(nèi)傳遍整個網(wǎng)絡(luò)，攻擊者就可以利用這些漏洞對網(wǎng)絡(luò)進行攻擊，網(wǎng)絡(luò)信息處于被竊聽、監(jiān)視等多種安全威脅中，信息安全極度脆弱。

（二）計算機病毒問題

互連互通的網(wǎng)絡(luò)給人們傳輸信息和共享信息帶來了極大的方便，但同時也給病毒的傳播大開方便之門。而且現(xiàn)在病毒的隱蔽性、傳染性、破壞性歷經(jīng)演變之后都有了很大的提高，使網(wǎng)絡(luò)用戶防不慎防，給企業(yè)帶來巨大的損失。境內(nèi)外各種敵對勢力一直把我國軍工單位作為滲透、情報竊取的重點目標，無時不在對我進行情報竊密活動，黑客攻擊是常用手段之一。黑客利用企業(yè)網(wǎng)絡(luò)存在的一些安全漏洞，經(jīng)過一些非法手段訪問企業(yè)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)資源，可以刪除、復制、修改甚至毀壞一些重要數(shù)據(jù)，從而給企業(yè)和個人用戶帶來意想不到的損失。

（三）隔離墻問題

大部分軍工企業(yè)沒有做到非的內(nèi)外部網(wǎng)絡(luò)的物理隔離，或邏輯隔離強度不夠；另外存在一機多用的情況，在內(nèi)外網(wǎng)之間隨意轉(zhuǎn)換使用。致使病毒在多個網(wǎng)絡(luò)中流傳，存在一點突破全網(wǎng)盡失的現(xiàn)象。一些單位內(nèi)部文件共享情況比較普遍，缺乏有效的授權(quán)訪問機制，對內(nèi)不設(shè)防的情況比較多。對于一些物理隔離較好的內(nèi)外部網(wǎng)絡(luò)，因移動存儲介質(zhì)能夠在兩個網(wǎng)絡(luò)之間能交叉使用，致使病毒仍能在網(wǎng)絡(luò)之間流轉(zhuǎn)，甚至能通過接入互聯(lián)網(wǎng)的計算機把信息傳輸出去，致使內(nèi)外網(wǎng)的隔離失去實際意義。

二、密碼學解決信息安全的方法

經(jīng)過加密處理后的信息在網(wǎng)絡(luò)中傳輸，將很大的程度上避免了數(shù)據(jù)信息泄漏，即使黑客或病毒截取了相關(guān)信息，也要通過花大量的功失解密才能獲知明文。密碼編碼學是解決網(wǎng)絡(luò)信息安全問題的核心技術(shù)，保證了數(shù)據(jù)信息的可控性、保密性完整性、不可否認性和可用性。

（一）數(shù)據(jù)信息采取加密保存

首選的是運用數(shù)據(jù)信息加密技術(shù)，加密方法有對稱加密和非對稱加密，通過設(shè)置對文件設(shè)置密碼保存，提高數(shù)據(jù)信息的安全性，加密的算法有AES密碼算法，DES算法、三重DES算法、RSA算法等。只有解密后才能訪問和理解原始數(shù)據(jù)信息。可以采用可靠的加密軟件對文件進行加密保護，如電子郵件、口令等數(shù)據(jù)，通過Outlook發(fā)送郵件，自帶有加密和數(shù)字簽名等安全設(shè)置功能，可以使用安全設(shè)置后再發(fā)送，達到數(shù)據(jù)信息安全的目的，即使被截取后，黑客也要耗時間去解密，達到數(shù)據(jù)信息時效安全性。

（二）鏈路和端對端加密相結(jié)合傳輸

數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸過程中，采取鏈路加密還是端對端的加密都是有一定的缺陷的，只有把兩種方法結(jié)合起來應用，才能使數(shù)據(jù)信息保護更加安全，主機使用端對端加密密鑰來加密用戶數(shù)據(jù)，整個分組則使用鏈路加密，分組在網(wǎng)絡(luò)中傳輸是，每個結(jié)點用鏈路加密密鑰來解密它，讀取信息頭，然后在對它加密，發(fā)送到下一條鏈路上，這樣除了在分組交換結(jié)點的存儲器逗留的時間里信息頭是明文外，整個分組一直都是安全的。

三、軍工企業(yè)信息安全的策略

解決網(wǎng)絡(luò)信息安全的對策和措施的遵旨是技術(shù)與管理相結(jié)合：技術(shù)和管理不是相互孤立的。對于任何一個企業(yè)來說，網(wǎng)絡(luò)信息的安全不僅是技術(shù)方面的問題，更是管理的問題。制定完善的安全管理制度，精確到細節(jié)，從企業(yè)高管到部門負責人以及普通員工，確定每個用戶在網(wǎng)絡(luò)中扮演的角色和承擔的安全責任義務，職責分明。企業(yè)應將網(wǎng)絡(luò)安全管理工作作為一項重要指標納入年度考核，營造“網(wǎng)絡(luò)安全，人人有責”的全體動員的氛圍。同時應制定詳細的安全管理策略，并每年定時或不定時的對非網(wǎng)絡(luò)的服務器和計算機進行抽查，根據(jù)檢查結(jié)果，對不符合要求的要實事求是的下發(fā)整改通知，并在公司網(wǎng)絡(luò)安全管理會議上進行通報。軍工企業(yè)的網(wǎng)絡(luò)信息安全建設(shè)是一項系統(tǒng)的、龐雜的、長期的工程。但我們也清醒的認識到，安全不是技術(shù)，而是技術(shù)與管理的結(jié)合，任何先進的安全技術(shù)都需要嚴謹?shù)墓芾碜鳛楹蠖埽駝t，只是一堆軟硬件的組合。我們必須從自身做起，堅持不懈，確保軍工企業(yè)的網(wǎng)絡(luò)信息安全。

參考文獻：

第6篇

關(guān)鍵詞：電子商務；外貿(mào)企業(yè)；對策

一、電子商務對于現(xiàn)在外貿(mào)企業(yè)的發(fā)展引起的影響

（一）電子商務對傳統(tǒng)外貿(mào)環(huán)境的影響

在中國加入到WTO后，對于中國中小型企業(yè)的外貿(mào)生意提供了便利條件，相關(guān)的政策和營業(yè)權(quán)限的批準均是為了企業(yè)進行“松綁”，很多中小型企業(yè)獲得了相關(guān)的自營權(quán)力。但是在金融危機背景下，外貿(mào)企業(yè)面臨著經(jīng)營上的窘境，創(chuàng)新思維和技術(shù)革新締造了這一行業(yè)的更高價值，使得中小型企業(yè)在全球市場上得到了又一光明大道。電子商務是通過網(wǎng)絡(luò)平臺拓寬了企業(yè)的發(fā)展市場，更好的促進外貿(mào)企業(yè)的全球化進程。

（二）電子商務對外貿(mào)企業(yè)在運營商的影響

電子商務為了中國外貿(mào)企業(yè)在運營渠道上開辟了更廣闊的市場，也給外貿(mào)企業(yè)發(fā)展速度提供了國際化的平臺。電子商務改變了傳統(tǒng)商務交流模式上的弊端，減少中間商賺差價，降低了一定的成本，并且交易過程更加透明化、合理化，滿足消費者價格心理的同時，也為各大企業(yè)的經(jīng)理利益提供了一定的保障。

二、電子商務對于現(xiàn)在外貿(mào)企業(yè)的發(fā)展引起的一些問題

（一）需求的目標用戶不明確

現(xiàn)有的中小型企業(yè)中對于網(wǎng)絡(luò)貿(mào)易的認識并不透徹，構(gòu)建網(wǎng)頁的時候目標較為盲目，功能上過于簡單化，網(wǎng)頁長時間不進行維護，這對企業(yè)的整體形象影響深遠。

（二）企業(yè)電子商務的普及率較低

在現(xiàn)有的很多企業(yè)中信息化模式使用并不完全，在企業(yè)網(wǎng)絡(luò)更新和維護上并不上心，對客戶的反饋和客戶的詢問并不能及時的回復。有的企業(yè)并沒有自己的官方網(wǎng)站，就會借助第三方的平臺進行進一步銷售，例如阿里巴巴、中國制造網(wǎng)等等，但是依然秉承傳統(tǒng)模式的觀念，沒有將電子商務運用到實際中來。

（三）相關(guān)的電子商務系統(tǒng)配套服務并不完善

制約著電子商務的主要原因在于物流服務，首先打造較大、較全、系統(tǒng)的倉庫系統(tǒng)是可以完成的，但是如何將貨物安全、完整、無破損的進行輸送成為外貿(mào)企業(yè)應該關(guān)注的問題。

（四）現(xiàn)有的外貿(mào)環(huán)境需要完善

在電子商務不斷發(fā)展的今天，網(wǎng)絡(luò)安全成為大家關(guān)注的問題，網(wǎng)上交付、網(wǎng)絡(luò)環(huán)境安全、有關(guān)網(wǎng)絡(luò)安全構(gòu)建的制度和條例建設(shè)等都是需要再次梳理和完善的。這些均是制約外貿(mào)企業(yè)拓展業(yè)務的關(guān)鍵問題。

（五）中國企業(yè)的信用問題有待改善

在國際購物網(wǎng)站上，每家店鋪的網(wǎng)上信用問題成為大家選擇的重要憑證，網(wǎng)上的購物評價也成為了大家選擇的一個標準。而電子商務的平臺構(gòu)建成為了消費者與企業(yè)合作的重要溝通工具，這不僅會嚴重影響到交易成功率也會影響品牌的名譽。所以，在構(gòu)建外貿(mào)企業(yè)電子商務平臺過程中，相應健全的機制成為保駕護航的關(guān)鍵。

三、問題對策

（一）外貿(mào)企業(yè)要重新定位，用發(fā)展的眼光看問題

在傳統(tǒng)貿(mào)易中將線下貿(mào)易改革成為線上貿(mào)易的發(fā)展新局勢和新方法，知識單純的依靠企業(yè)宣傳和人工宣傳已經(jīng)不能滿足，隨意當機立斷的進行有效的制度改革，通過政府的監(jiān)管與扶持，將市場作為主要的實施媒介。在對外腦企業(yè)進行有效的整改過程中，積極地相應市場的新格局和社會的變化發(fā)展，建立屬于自己的網(wǎng)站，宣傳企業(yè)產(chǎn)品，在網(wǎng)上開拓市場信息。在對企業(yè)網(wǎng)站進行設(shè)計時要突出屬于適合自己企業(yè)網(wǎng)站的風格，創(chuàng)建針對企業(yè)的、獨特的服務功能和網(wǎng)絡(luò)環(huán)境，及時找到適合企業(yè)定位的溝通方式，使得企業(yè)實體與網(wǎng)絡(luò)經(jīng)營的雙模式綜合體，為外貿(mào)經(jīng)濟創(chuàng)造更大的發(fā)展空間。

（二）利用全新的電子商務模式進行企業(yè)營銷

首先，根據(jù)企業(yè)的特點和使用人群進行電子商務的系統(tǒng)優(yōu)化，盡可能的減少中間繁雜的中間環(huán)節(jié)，在用戶購物時，可以設(shè)定一定的優(yōu)惠服務，吸引消費者眼球，博得產(chǎn)品關(guān)注在某種程度上說是引導消費者進行選購；可以建立會員制度，在一定時期進行會員優(yōu)惠，這不僅可以穩(wěn)定用戶，還可以促進客戶的消費心理。這樣更好的構(gòu)建經(jīng)營、人脈、金融多層經(jīng)濟關(guān)系。

（三）國際貿(mào)易要加強先關(guān)的法律法規(guī)，完善網(wǎng)絡(luò)的信用制度

在現(xiàn)有的相關(guān)貿(mào)易法律法規(guī)中，對于電子商務的網(wǎng)絡(luò)交易還有一部本并沒有完善。根據(jù)相關(guān)部門的調(diào)查走訪進行系統(tǒng)分析，網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、支付安全等方面的法律條文需要進行系統(tǒng)整改，從技術(shù)上到電子商務意識方面，均要求有所涉及。要做到企業(yè)懂法，處處合理安全。

第7篇

(一)信息安全中的道德問題。

信息安全問題是網(wǎng)絡(luò)營銷領(lǐng)域中的核心問題，網(wǎng)絡(luò)營銷中比較常見的信息安全道德失范問題常見的有:有意或者無意地向顧客傳播木馬、病毒或者惡意代碼;強行更改瀏覽器的起始頁面或者篡改瀏覽器標題欄上的公司信息;為了醒目和增加識別性，使用他人的知名商標、字號、商品名作為鏈接標志等等。

(二)消費者權(quán)益中的道德問題。

受經(jīng)濟利益的驅(qū)使，一些網(wǎng)絡(luò)營銷企業(yè)采用cookie、WebBugs或者其他技術(shù)手段在網(wǎng)絡(luò)里暗中監(jiān)視和收集消費者的瀏覽痕跡，再進行數(shù)據(jù)歸檔，使得消費者個人隱私權(quán)受到了侵害。甚至未經(jīng)當事人同意，在互聯(lián)網(wǎng)上公開、傳播或轉(zhuǎn)讓他人和自己之間的隱私。

(三)商品交易中的道德問題。

網(wǎng)上交易中買賣雙方不可能“一手交錢、一手交貨”，交易的虛擬性強，導致消費者即使被騙后也不好采取法律行動，這便給一些不道德的營銷者提供了欺詐的空間，虛假交易時常發(fā)生。

二、我國網(wǎng)絡(luò)營銷中道德問題產(chǎn)生的原因

(一)網(wǎng)絡(luò)營銷倫理失范的環(huán)境因素。

一是網(wǎng)絡(luò)的虛擬性使得人們的社會角色和要承擔的道德義務責任與現(xiàn)實中有很大不同，更容易受到不道德、反倫理的信息的侵犯，導致網(wǎng)絡(luò)群體道德水平下降。二是復雜的網(wǎng)絡(luò)技術(shù)支撐下的高效率的全新商業(yè)模式也為網(wǎng)絡(luò)運營商、第三方電子商務平臺、政府管理部門的監(jiān)管帶來了新挑戰(zhàn)和難度。三是網(wǎng)絡(luò)營銷的超前性和成長性特點使得網(wǎng)絡(luò)管理具有滯后性，導致了網(wǎng)絡(luò)營銷中倫理失范問題的嚴重性。

(二)網(wǎng)絡(luò)營銷倫理失范的主體因素。

開展網(wǎng)絡(luò)營銷的企業(yè)是網(wǎng)絡(luò)營銷倫理規(guī)范的主體，其存在的問題有:

1．網(wǎng)絡(luò)營銷企業(yè)缺乏倫理道德觀念，片面追求利潤最大化。追求利潤最大化是市場經(jīng)濟中企業(yè)奉行的首要經(jīng)營原則。一些企業(yè)置商業(yè)倫理道德于不顧，過分強調(diào)自己的經(jīng)濟利益，致使在網(wǎng)絡(luò)營銷過程中出現(xiàn)了種種違背倫理原則的經(jīng)營行為。

2．網(wǎng)絡(luò)營銷企業(yè)尚未構(gòu)建良好的企業(yè)營銷倫理文化。目前我國網(wǎng)絡(luò)營銷企業(yè)當中具有良好企業(yè)文化的為數(shù)不多，基于良好企業(yè)文化的企業(yè)價值觀將引導企業(yè)合法和積極地經(jīng)營，錯誤的企業(yè)價值觀則會致使企業(yè)只片面追求利益最大化，很可能導致道德失范。3．網(wǎng)絡(luò)營銷企業(yè)領(lǐng)導者的自身道德素質(zhì)良莠不齊。我國的網(wǎng)絡(luò)營銷企業(yè)以中小型企業(yè)為主，網(wǎng)絡(luò)營銷企業(yè)的企業(yè)家有部分人急功近利，社會責任感不強，忽視了倫理道德在經(jīng)濟活動中的約束作用。

(三)網(wǎng)絡(luò)營銷倫理失范的外部因素。

1．網(wǎng)絡(luò)營銷相關(guān)的法律法規(guī)缺失，政府監(jiān)管不力。目前我國現(xiàn)階段并沒有關(guān)于網(wǎng)絡(luò)營銷相關(guān)的專門法律法規(guī)，法律和制度的缺失使得我國網(wǎng)絡(luò)營銷漏洞百出，讓非法者有機可乘，擾亂了正常的市場經(jīng)濟秩序。

2．網(wǎng)絡(luò)消費者維權(quán)意識較為淡薄。網(wǎng)絡(luò)營銷的虛擬性決定了消費者購買商品時間和空間上的分離，利益受損的消費者有可能會抱著“多一事不如少一事”的態(tài)度，放棄維護自身的合法權(quán)益。

3．“信息不對稱”造成的企業(yè)誠信缺失。營銷企業(yè)擁有的信息量大，占據(jù)信息優(yōu)勢，而消費者無法準確掌握商品質(zhì)量等信息而處于信息劣勢。這種信息量不平衡造成部分企業(yè)在經(jīng)營過程中違背道德原則，進行違德違法營銷，以求獲得更多的利益。

三、治理我國網(wǎng)絡(luò)營銷中道德問題的對策建議

(一)加強企業(yè)內(nèi)部道德建設(shè)，提升企業(yè)網(wǎng)絡(luò)營銷倫理水平。

構(gòu)建積極健康的網(wǎng)絡(luò)營銷倫理，作為市場主體的網(wǎng)絡(luò)營銷企業(yè)要自覺按照道德規(guī)范自我教育、自我約束，網(wǎng)絡(luò)營銷企業(yè)要注重對優(yōu)秀企業(yè)文化的培育，并依托良好的企業(yè)進行規(guī)章制度的建設(shè)。

1．樹立網(wǎng)絡(luò)營銷倫理觀，打造道德過硬的營銷團隊。企業(yè)不僅是經(jīng)濟組織，也是社會組織，企業(yè)要有正確的經(jīng)營指導思想，處理好“義”與“利”之間的關(guān)系，在網(wǎng)絡(luò)營銷活動中要切實維護國家利益、人民利益、消費者利益以及競爭者之間的利益。

2．加強企業(yè)網(wǎng)絡(luò)營銷倫理文化建設(shè)，增加企業(yè)競爭軟實力。要將健康向上的企業(yè)文化滲透到企業(yè)的倫理承諾中，并且與整個企業(yè)的倫理狀況進行緊密的關(guān)聯(lián)，一種具有凝聚力的企業(yè)文化能夠保證企業(yè)的營銷行為合乎倫理的要求。

3．建立企業(yè)網(wǎng)絡(luò)營銷道德規(guī)范，提高網(wǎng)絡(luò)營銷者的道德水平。公司信條或者倫理章程能很大程度上影響到公司內(nèi)的倫理行為，其執(zhí)行的好壞將深刻影響到企業(yè)職工的素質(zhì)和道德素養(yǎng)，并將極大地影響企業(yè)營銷的倫理水平。

(二)加強網(wǎng)絡(luò)安全建設(shè)，確保消費者的利益。

隨著網(wǎng)絡(luò)營銷的發(fā)展，安全問題更加突出，在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。解決好這個問題，應從完善網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全協(xié)議兩方面入手。

(三)發(fā)揮政府在網(wǎng)絡(luò)營銷倫理建設(shè)中的調(diào)控作用。

企業(yè)在網(wǎng)絡(luò)營銷中出現(xiàn)的一系列倫理失范問題的規(guī)制，除了內(nèi)部自律，也需要外部約束，在此之中，政府因素是影響企業(yè)營銷道德水平高低的重要外部因素。

1．健全網(wǎng)絡(luò)營銷的法律法規(guī)，保障網(wǎng)絡(luò)營銷健康發(fā)展。健全網(wǎng)絡(luò)營銷的法律法規(guī)主要可以主要從四方面進行完善:一是盡快出臺《電子商務法》。二是修改完善《廣告法》，加快制定《網(wǎng)絡(luò)廣告法》。三是加快完善《合同法》。四是針對網(wǎng)絡(luò)隱私安全問題，完善《消費者權(quán)益保護法》，將網(wǎng)絡(luò)營銷納入到法律的控制范圍內(nèi)，這是我國網(wǎng)絡(luò)營銷規(guī)范化和法制化發(fā)展的必由之路。

2．加強對網(wǎng)絡(luò)營銷道德違規(guī)行為的制裁和處理。從我國的實際情況看，不僅需要“有法可依”，更需要“有法必依和執(zhí)法必嚴”。鑒于此，行政監(jiān)管部門應組織成立專門機構(gòu)，加強與工商行政、物價、稅務、技術(shù)監(jiān)督等部門的協(xié)調(diào)合作，定期清查網(wǎng)絡(luò)營銷企業(yè)的道德違規(guī)情況，及時提出整改意見，加大懲罰力度，提高失信網(wǎng)絡(luò)營銷的違信成本，從而有效遏制不道德網(wǎng)絡(luò)營銷行為的蔓延。

第8篇

關(guān)鍵詞：信息 安全 現(xiàn)狀分析 存在問題 防控措施

隨著國家電網(wǎng)公司信息化戰(zhàn)略的部署和資金、技術(shù)的投入，縣級供電企業(yè)的信息化建設(shè)水平得到了很快的提升，供電企業(yè)的生產(chǎn)調(diào)度和經(jīng)營管理對計算機和網(wǎng)絡(luò)信息系統(tǒng)的依賴程度也越來越強，甚至，離開了信息系統(tǒng)的支撐，日常的生產(chǎn)、經(jīng)營、管理活動已經(jīng)不能順利進行。但是，需要引起重視的是，縣級供電企業(yè)在信息化躍進過程中，在人員、設(shè)備、技術(shù)和管理中的不足，使信息安全面臨的風險也在日益突出。

一、信息安全風險

信息作為一種特殊資源與其它資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導致信息系統(tǒng)的不安全性。

信息安全包括以下內(nèi)容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

縣級供電公司信息安全的風險有內(nèi)部的，也有外部的。內(nèi)部的表現(xiàn)為：網(wǎng)絡(luò)故障、應用系統(tǒng)故障等；外部的表現(xiàn)為：網(wǎng)絡(luò)入侵、外部泄密等。內(nèi)、外部網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動機，對電力企業(yè)網(wǎng)絡(luò)上連接的計算機系統(tǒng)和設(shè)備進行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取商業(yè)秘密和機密信息，非法使用網(wǎng)絡(luò)資源等，將給企業(yè)造成巨大的損失。

二、信息化網(wǎng)絡(luò)及應用現(xiàn)狀分析

在網(wǎng)絡(luò)硬件方面，已經(jīng)建成CISCO7603、CISCO4507R為主交換機，主干為千兆的以太網(wǎng)。上聯(lián)網(wǎng)絡(luò)連接升級為光纖通信為主，以太網(wǎng)2M為備用的方式。建成了覆蓋全公司20多個鄉(xiāng)鎮(zhèn)供電所及變電所的農(nóng)村信息網(wǎng)。實現(xiàn)百兆到桌面、三層交換、VLAN等技術(shù)普及使用。主要分為兩類網(wǎng)絡(luò)系統(tǒng)，一類是實時系統(tǒng)，有調(diào)度自動化系統(tǒng)、設(shè)備監(jiān)控操作系統(tǒng)；另一類是非實時的辦公自動化應用系統(tǒng)、電能量采集系統(tǒng)、集中抄表系統(tǒng)。兩類網(wǎng)絡(luò)系統(tǒng)是物理隔離，分網(wǎng)運行的。

在軟件方面，各應用主要包括調(diào)度自動化系統(tǒng)、負荷監(jiān)控系統(tǒng)等。計算機及信息網(wǎng)絡(luò)系統(tǒng)在電力生產(chǎn)、建設(shè)等各個領(lǐng)域有著十分廣泛的應用，為安全生產(chǎn)、降低成本等方面取得了明顯的社會效益和經(jīng)濟效益。

三、信息安全現(xiàn)狀分析

按照省、市公司信息化工作的統(tǒng)一部署，我公司信息系統(tǒng)已經(jīng)初步建立其安全體系，將電力信息網(wǎng)絡(luò)和電力運行實時控制網(wǎng)絡(luò)進行了物理隔離。按江蘇省電力公司系統(tǒng)集成、數(shù)據(jù)集中要求，調(diào)度系統(tǒng)、電力營銷等核心數(shù)據(jù)都集中在省市公司管理，對公司網(wǎng)站、NOTES、下屬企業(yè)財務數(shù)據(jù)都建立了備份策略和容錯措施。企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)采取了嚴格的隔離措施，嚴防內(nèi)外網(wǎng)機器混用造成信息外聯(lián)。信息網(wǎng)絡(luò)按業(yè)務劃分了10個VLAN，設(shè)置了訪問控制。采取了統(tǒng)一的域名管理，與市公司共享操作系統(tǒng)LiveUpdate系統(tǒng)，及時派發(fā)更新程序，堵塞操作系統(tǒng)漏洞。部署了symantec防病毒軟件，通過派發(fā)的形式對整個網(wǎng)絡(luò)部署查、殺毒。全面應用了國網(wǎng)桌面終端管理系統(tǒng)，實時監(jiān)控客戶端的異常情況。采用了國網(wǎng)移動存儲介質(zhì)管理系統(tǒng)，加強對移動存儲介質(zhì)的管理。

但是客觀來說，縣級供電企業(yè)在信息安全管理上人員、技術(shù)薄弱，職工信息安全意識不到位，管理流程上存在疏漏，給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。

四、信息安全存在的問題

1、操作系統(tǒng)及網(wǎng)絡(luò)安全問題。

目前，電力企業(yè)信息網(wǎng)絡(luò)中使用的硬件設(shè)備及操作系統(tǒng)的核心技術(shù)基本上來自國外，被認為是易窺視和易打擊的“玻璃網(wǎng)”，網(wǎng)絡(luò)安全處于被竊聽、干擾等多種信息安全威脅的脆弱的狀態(tài)。同時，縣級供電企業(yè)的操作系統(tǒng)大部分缺乏正版保護，難以得到有效升級和修補，難免受到“木馬”與“后門”的威脅；用戶習慣于默認密碼或管理者設(shè)置的初始密碼，較容易被他人破解；操作系統(tǒng)不安全的默認設(shè)置、共享等都可能給非法入侵提供方便。對于網(wǎng)絡(luò)設(shè)備，用戶使用tracert等工具較容易獲知核心交換機的IP地址，如果管理端口不加限制，使用空密碼，明文密碼或默認密碼，交換設(shè)備有被惡意控制的可能。局域網(wǎng)絡(luò)布點缺乏有效的規(guī)劃和管理，對使用普通交換機隨意串接，甚至使用無線路由串入，缺乏偵控手段，同時對計算機設(shè)備接入也缺乏有效的審查管理,內(nèi)網(wǎng)外聯(lián)風險比較突出。

2、應用系統(tǒng)用戶身份認證和訪問控制急需加強。企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，包含的信息和數(shù)據(jù)，也只對一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設(shè)計了用戶管理功能，在系統(tǒng)中建立用戶，設(shè)置權(quán)限，管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。

一是部分應用系統(tǒng)的用戶權(quán)限管理功能過于簡單，不能靈活實現(xiàn)更細的權(quán)限控制。二是各應用系統(tǒng)之間沒有一個統(tǒng)一的用戶管理，使用起來非常不方便，更不用說賬號的有效管理和安全了。三是用戶安全意識不強，習慣于默認密碼或管理者設(shè)置的初始密碼。應用系統(tǒng)人員變換后，延用以前的密碼，疏于更換帳號與口令。習慣于使用“保存賬號”、“保存密碼”的方式登陸應用系統(tǒng)。

3、木馬與病毒問題。

隨著Internet技術(shù)的發(fā)展、企業(yè)網(wǎng)絡(luò)環(huán)境的壯大和企業(yè)網(wǎng)絡(luò)應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環(huán)境和企業(yè)網(wǎng)絡(luò)環(huán)境為病毒傳播、生存提供了環(huán)境。同時，黑客攻擊的風險增大。黑客利用計算機系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫等方面的漏洞和缺陷，采用破解口令、天窗等于段侵入計算機系統(tǒng)，進行信息破壞或占用系統(tǒng)資源，使得用戶無法使用自己的機器。非正版保護的操作系統(tǒng)和應用軟件的使用，為木馬與病毒的植入及黑客攻擊提供了可能；部分客戶機的操作系統(tǒng)和防病毒軟件未能及時得到升級，系統(tǒng)用戶在使用移動介質(zhì)在外網(wǎng)和內(nèi)網(wǎng)之間交換數(shù)據(jù)時，很容易攜入木馬與病毒，使之成為發(fā)動攻擊的肉雞。

4、存儲介質(zhì)管理問題。

目前，縣級供電公司雖然推廣使用了國家電網(wǎng)移動存儲介質(zhì)管理系統(tǒng)，但是在使用中仍存在三種信息失密可能：一是用戶習慣使用注冊時的默認密碼，不加以個性化更改，這樣移動介質(zhì)被他人獲取后很容易被破解，使數(shù)據(jù)泄密。二是部分用戶在移動存儲介質(zhì)注冊時，為圖使用方便，劃分出自由區(qū)域，在實際使用時，繞過保密區(qū)登陸使用，將工作文檔存儲在自由區(qū)，如此使用移動介質(zhì)，毫無保密可言，極易形成信息外泄；移動存儲介質(zhì)的交叉使用，也可能造成信息內(nèi)部失密。另外，機器維修也需加強管理，目前，縣級供電公司基本上計算機專職配置為1人，需要管理300臺左右的機器和龐大的局域網(wǎng)絡(luò)，基本上是疲于應付，計算機故障處理、系統(tǒng)重裝等一般外包給社會電腦門市，將單機信息保密工作寄托于維修商的良知，風險極大。

5、數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲。

電力系統(tǒng)計算機網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。以明文形式存儲的信息存在泄漏的可能，拿到存儲介質(zhì)的人可以讀出這些信息；黑客可以繞過應用系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。

五、針對信息安全漏洞的防控措施

1、加強信息安全教育。應該將信息納入到供電企業(yè)安全管理中，并與生產(chǎn)安全置于同等重要的位置，長效管理，常抓常新。為了保證安全的成功和有效，信息主管部門應當對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓。特別是對基層班組和供電所信息用戶，應用能力相對薄弱，亟需開展定期的應用能力培訓和考核。所有的職工必須了解并嚴格執(zhí)行企業(yè)安全策略，明確其對企業(yè)信息安全所承擔的職責和義務，要求能夠保證自己的計算機和相關(guān)應用的安全。

2、加強密碼管理工作。對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等各類密碼要妥善治理，杜絕默認密碼，出廠密碼，無密碼和容易猜測的密碼，防止非法用戶入侵使用。密碼要及時更新，特別是有職員調(diào)離時密碼一定要及時更新。減少應用系統(tǒng)的賬號共用、通用。

3、加強信息介質(zhì)的管理。備份的介質(zhì)要防止丟失和被盜。移動存儲介質(zhì)注冊時要限制使用自由存儲區(qū)域，減少使用通用密碼。建立報廢的介質(zhì)的清除和銷毀制度，加強報廢介質(zhì)管理。增加計算機管理人員配備和加強計算機管理網(wǎng)絡(luò)建立，逐步減少外送維修，防范外修過程中存儲介質(zhì)信息的泄密。

4、加強設(shè)備技術(shù)投入。應用先進的加密技術(shù)和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸蟆ＲM進侵檢測系統(tǒng)提供企業(yè)級的安全檢測手段，最大限度地、全天候地實施網(wǎng)絡(luò)監(jiān)控。在事后分析的時候，可以清楚地界定責任人和責任事件，為網(wǎng)絡(luò)治理提供強有力的保障。建議取消DHCP服務，在交換設(shè)備上使用MAC地址與IP地址的綁定，加強接入內(nèi)網(wǎng)設(shè)備的有序管理。

5、加強內(nèi)網(wǎng)外聯(lián)治理。在管理上，加強內(nèi)網(wǎng)外聯(lián)知識與危害性的廣泛宣傳，對發(fā)生內(nèi)網(wǎng)外聯(lián)事件的人要嚴肅處理，捆綁考核。在技術(shù)上，內(nèi)、外網(wǎng)的設(shè)備接入要有明顯的物理隔離和標志，防止誤操作的發(fā)生；杜絕計算機內(nèi)外網(wǎng)混用；嚴格防范ADSL等設(shè)備接入內(nèi)網(wǎng)終端。

6、加強信息責任制考核。要強化信息安全考核機制的執(zhí)行，對發(fā)生的信息安全事故或隱患，要通過技術(shù)手段追蹤到責任人，并按照四不放過的要求，組織分析調(diào)查，落實考核、落實整改措施，并舉一反三，深化對全體職工信息安全養(yǎng)成教育。

六、結(jié)束語

綜上所述，技術(shù)是信息安全的主體，管理是安全的靈魂，信息安全，三分技術(shù)，七分管理。只有將有效的安全管理實踐自始至終貫徹落實于信息安全工作當中，信息安全的長期性和穩(wěn)定性才能有所保證。

參考文獻：

[1]劉立兵．淺談計算機網(wǎng)絡(luò)在電力系統(tǒng)的應用及安全性

第9篇

關(guān)鍵詞:防火墻;雙機;狀態(tài)檢測;VRRP

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03

隨著互聯(lián)網(wǎng)以及現(xiàn)代通訊技術(shù)的發(fā)展,以及用戶對服務品質(zhì)的需求,高可用性網(wǎng)絡(luò)已經(jīng)越來越成為Internet組網(wǎng)設(shè)計的目標。因網(wǎng)絡(luò)中斷給用戶帶來的損失以及潛在損失已經(jīng)十分巨大,有研究表明,網(wǎng)絡(luò)停運帶來的損失已經(jīng)高達幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量。

在防火墻的可靠性試驗之前,先了解目前防火墻的技術(shù)以及該技術(shù)特點對防火墻可靠性的影響,目前各類型的防火墻從其實現(xiàn)原理上來說基于以下三大類:

1) 基于逐包轉(zhuǎn)發(fā)過濾的包過濾;

2) 通過檢測會話狀態(tài)基于會話流的狀態(tài);

3) 基于應用方式的全。

這三種防火墻技術(shù)的優(yōu)缺點不作詳細討論,對于第一種逐包轉(zhuǎn)發(fā)過濾的包過濾防火墻因為其不能很好的區(qū)分和保護不同的區(qū)域,在運行內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的同時也提供了外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的安全漏洞,因此這種防火墻技術(shù)在近年來屬于逐步被淘汰的技術(shù),但是就可靠性而言,因為該技術(shù)采用逐包轉(zhuǎn)發(fā)過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設(shè)備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設(shè)備很難做到對同一會話進行相同的地址轉(zhuǎn)換,導致包過濾防火墻在Nat的應用中也出現(xiàn)問題。

對于基于應用方式的全防火墻,由于其隔離了與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接,它能給內(nèi)部網(wǎng)絡(luò)提供很好的保護,但是他的優(yōu)點同時也是最大的缺點,由于采用的是應用的方式,對于應用程序而言就不透明了,需要應用程序為這種連接進行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言,要做到雙機熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機上去,這種特性使得全方式的防火墻的雙機熱備實現(xiàn)起來很困難,在實際應用中也很少見這種防火墻的備份方案。

下面我們將通過兩組實驗討論基于會話流的狀態(tài)防火墻的可靠性問題,所謂狀態(tài)防火墻是指用戶通過防火墻訪問外部網(wǎng)絡(luò)時,會在防火墻上創(chuàng)建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址、源/目的端口、協(xié)議類型),這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶,而從外面主動發(fā)起的會話請求因為不能匹配任何會話表項,而被ACL規(guī)則過濾掉。這樣就可以提供給用戶不同級別的保護,從而有效地保護用戶的內(nèi)部網(wǎng)絡(luò)。目前大部分防火墻產(chǎn)品都是屬于這種技術(shù)的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機熱備的時候?qū)M網(wǎng)有特殊的要求,以下將通過實驗了解防火墻可靠性技術(shù),以及實驗過程中出現(xiàn)的問題并提出的解決方案。

1 防火墻雙機試驗組網(wǎng)及配置

單組防火墻雙機可靠性實驗中采用設(shè)備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機, sinfor互聯(lián)網(wǎng)安全控制產(chǎn)品。根據(jù)可靠性要求將網(wǎng)絡(luò)安全設(shè)備和交換設(shè)備進行如下組網(wǎng)設(shè)計和部署,通過實驗測試防火墻HA情況下不同安全區(qū)域的數(shù)據(jù)過濾及交換情況以及在該種模式和網(wǎng)絡(luò)結(jié)構(gòu)中存在的故障現(xiàn)象。

首先我們做單組防火墻雙機的實驗,其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

該結(jié)構(gòu)使用H3C系列高端網(wǎng)絡(luò)及安全設(shè)備組網(wǎng),適用于大中型企業(yè)核心網(wǎng)絡(luò)安全控制區(qū)域的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。通過這種網(wǎng)絡(luò)結(jié)構(gòu)的部署可以有效的防御外部網(wǎng)絡(luò)及企業(yè)內(nèi)部網(wǎng)絡(luò)對重要服務器的安全攻擊、漏洞掃描、木馬入侵等等,進而有效地對企業(yè)的研發(fā)、生產(chǎn)、商業(yè)、財務等機密數(shù)據(jù)進行保護和可控授權(quán)訪問。本實驗中將主要針對這種結(jié)構(gòu)下所使用設(shè)備部署完成后出現(xiàn)的故障進行分析和討論。

單組防火墻雙機實驗采用H3C9512高端交換作為企業(yè)的核心交換,H3C9508作為企業(yè)應用服務器區(qū)域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業(yè)務單板,防火墻單板通過9508內(nèi)置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連,設(shè)備互連接口地址均使用30位掩碼。9508交換作為二層交換使用,服務器區(qū)域的三層網(wǎng)關(guān)地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據(jù)需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協(xié)議,將互連及三層VLAN地址段到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區(qū)域內(nèi),所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區(qū)域,安全區(qū)域的默認訪問規(guī)則為單向,也就是高優(yōu)先級區(qū)域默認可訪問低優(yōu)先級區(qū)域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區(qū)域級別的VLAN中。最后啟用防火墻的雙機熱備功能,并選擇防火墻業(yè)務板上的一個接口作為心跳接口,服務器(unix系統(tǒng),需要雙網(wǎng)卡)通過EtherChannel IEEE802.3ad配置成網(wǎng)卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網(wǎng)卡放在9508-A上,將server2的主網(wǎng)卡放在9508-B上。為避免因靜態(tài)路由帶來的不能檢測設(shè)備故障的情況,該組網(wǎng)采用了動態(tài)路由協(xié)議,在防火墻和交換上都啟用ospf協(xié)議。

串聯(lián)多組防火墻雙機試驗設(shè)備采用了Juniper及Topsec防火墻、H3c9512交換機、深信服行為控制設(shè)備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯(lián)網(wǎng)線路。這些設(shè)備都是我們選用的支持雙機的網(wǎng)絡(luò)及安全設(shè)備進行串聯(lián),進行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區(qū)域之間數(shù)據(jù)通訊測試。由于實驗1已經(jīng)介紹了單組防火墻雙機的實驗情形,故這里只介紹軍事化區(qū)域至互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)通訊的實驗情況,該實驗的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

該網(wǎng)絡(luò)結(jié)構(gòu)使用雙重防火墻及上網(wǎng)行為控制設(shè)備對企業(yè)軍事化區(qū)域和互聯(lián)網(wǎng)區(qū)域進行了嚴格的數(shù)據(jù)過濾和行為控制,是企業(yè)軍事化區(qū)域、半軍事化區(qū)域及互聯(lián)網(wǎng)區(qū)域之間數(shù)據(jù)互訪受控的一種常用網(wǎng)絡(luò)結(jié)構(gòu),適用于大中型企業(yè)對內(nèi)外部數(shù)據(jù)交換須進行嚴格控制、審計、授權(quán)訪問等操作,或網(wǎng)絡(luò)運營服務商對外部用戶提供高可靠和安全性互聯(lián)網(wǎng)服務在互聯(lián)網(wǎng)出口部分至企業(yè)核心交換層的網(wǎng)絡(luò)部署。通過本網(wǎng)絡(luò)可以有效對內(nèi)外部上至應用層下至物理層數(shù)據(jù)的交換有效的控制、阻斷、審計。

同樣先簡單介紹該組網(wǎng)拓撲結(jié)構(gòu)及設(shè)備配置的基本信息。我們同樣使用9512作為核心交換,雙機之間通過TRUNK接口互聯(lián),上行與SSG520防火墻相連的接口配置VRRP與其互聯(lián)。SSG通過廠商的NSRP協(xié)議配置HA,并將其配置為橋接路由模式。SINFOR設(shè)備通過串口心跳配置好HA,并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態(tài)路由技術(shù)來配置冗余備份雙機結(jié)構(gòu),并將其配置為NAT模式。負載設(shè)備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設(shè)備限制,只做單機)。為防止動態(tài)路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態(tài)路由的方式進行配置。

2 防火墻雙機試驗故障現(xiàn)象

對于實驗1我們做如下的數(shù)據(jù)訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務器(可使用普通pc代替)分別接入到9508上的,使用同一個網(wǎng)段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測,從pc1和pc2分別發(fā)至server1和server2的檢測包結(jié)果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現(xiàn)丟包或者不通的現(xiàn)象。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發(fā)現(xiàn)pc1跟蹤server2的路由到SecBlade-A后出現(xiàn)中斷,pc2至server1的路由到SecBladeB出現(xiàn)中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發(fā)現(xiàn)故障依舊,根據(jù)路由情況得知基于會話狀態(tài)的防火墻在特殊的網(wǎng)絡(luò)結(jié)構(gòu)中存在來回路徑不一致而導致的中斷現(xiàn)象發(fā)生。

對于實驗2做了如下數(shù)據(jù)訪問測試:首先現(xiàn)在沒有任何設(shè)備、接口、線路故障的情況下,三組雙機設(shè)備都是主機在工作的,此時PC至互聯(lián)網(wǎng)server的訪問數(shù)據(jù)會通過所有雙機的主設(shè)備;我們手動的將SSG520主機的外網(wǎng)接口shutdown后會自動切換到備機工作,sinfor發(fā)現(xiàn)與其lan口相連的接口down了也會自動的切換到備機, topsec主機發(fā)現(xiàn)與其互聯(lián)的sinfor主機故障切換了,topsec主機也會切換到備機工作,這種情況并未發(fā)生中斷現(xiàn)象。但當我們將剛才shutdown的接口還原時,我們發(fā)現(xiàn)此時出現(xiàn)的故障情況為PC至server的數(shù)據(jù)會出現(xiàn)中斷現(xiàn)象。將SSG520手動down的接口還原后的情況發(fā)現(xiàn)三組冗余雙機設(shè)備開始在不斷的進行主備的切換,無法達到一致狀態(tài)。這時情況是三組雙機因為切換的時間和檢測的故障的。根據(jù)各種設(shè)備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯(lián)接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設(shè)備主備切換的時間存在差異,導致其他兩組設(shè)備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設(shè)備有效,而在設(shè)備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充,這種情況下三組設(shè)備很難達到同步切換的狀態(tài),因此導致故障現(xiàn)象的發(fā)生。

3 試驗故障分析及解決方案

針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實驗1中防火墻可靠性實驗中,出現(xiàn)的故障情況后對PC至server的路由分別進行了跟蹤和分析。本次的整個網(wǎng)絡(luò)結(jié)構(gòu)中全部使用ospf協(xié)議,并將路由都在AREA0區(qū)中。根據(jù)我國有關(guān)部門的提出的規(guī)范在默認不改變各條路由開銷(cost)值的情況下,所有設(shè)備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網(wǎng)段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現(xiàn)了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現(xiàn)象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上。這種情況下當其中一臺交換或者防火墻出現(xiàn)故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數(shù)據(jù)不會出現(xiàn)中斷現(xiàn)象,這種改造的弊端在于不能做到雙機負載也就是雙A狀態(tài)的運行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步,保證主防火墻和備防火墻實時的去同步授權(quán)允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現(xiàn)象,同時也將該組網(wǎng)結(jié)構(gòu)中的兩臺防火墻形成了雙A狀態(tài),分擔了負載。特別說明該實驗中根據(jù)設(shè)備的特性使用心跳線來代替實驗1中的防火墻的三層互聯(lián)即可。

對于在第二個實驗中出現(xiàn)的故障現(xiàn)象,由于現(xiàn)網(wǎng)中使用的各廠商設(shè)備的故障檢測機制的不一致性,如要統(tǒng)一算法需要將研究制定統(tǒng)一的故障檢測方法和切換機制。因此分析了實際情況后,我們可根據(jù)故障現(xiàn)象和原因?qū)W(wǎng)絡(luò)結(jié)構(gòu)進行整改和優(yōu)化后解決做實驗2中一組冗余雙機出現(xiàn)主備切換時導致網(wǎng)絡(luò)中斷的問題。我們可在該網(wǎng)絡(luò)結(jié)構(gòu)中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設(shè)備以同樣的連接和配置方式與另外一臺交換機互聯(lián)。兩臺交換機通過TRUNK口互聯(lián)并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區(qū)域的核心交換使用的,這樣內(nèi)網(wǎng)與外網(wǎng)同時可以接入到這兩臺交換上,可以節(jié)省硬件資源。我們在進行同樣的實驗,將三組冗余設(shè)備在任何一組設(shè)備中任何一個模擬故障現(xiàn)象都不會導致其它兩組設(shè)備的主備切換,即使我們設(shè)備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設(shè)備的因存在故障切換時間的差異而造成網(wǎng)絡(luò)中斷的現(xiàn)象發(fā)生。即各種故障或者切換都不會導致PC至server鏈路的中斷。具體的網(wǎng)絡(luò)整改拓撲圖如圖3所示。

從實驗3的網(wǎng)絡(luò)拓撲中可以清楚的看到,無論三組設(shè)備的故障切換是否能夠同步進行,PC至server的鏈路都會有一條通暢的路存在。這是本實驗中解決故障問題的較實用的方案。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權(quán)威機構(gòu)的統(tǒng)一和制定,研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協(xié)議類型。使該算法或協(xié)議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機制和統(tǒng)一的切換算法,使雙機設(shè)備都能通過該算法或協(xié)議在各種不同的故障情形下進行快速有效統(tǒng)一地故障同步切換也是解決該問題的重要方法,也是統(tǒng)一網(wǎng)絡(luò)設(shè)備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協(xié)議已經(jīng)將huawei的防火墻進行了較好的狀態(tài)一致檢測和會話同步的管理。

4 總結(jié)

在整個網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和實施過程中詳細分析和說明了三組雙機實驗的網(wǎng)絡(luò)結(jié)構(gòu)在企業(yè)不同安全區(qū)域部署的目的、作用和效果,同時對在部署過程中出現(xiàn)的問題進行了分析和研究,在網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上給出問題解決方案,并對其進行網(wǎng)絡(luò)改造和優(yōu)化,用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業(yè)的核心數(shù)據(jù)受控區(qū)域,為嚴格控制各應用服務器之間以及用戶與服務器之間的數(shù)據(jù)訪問,采用可自定義多區(qū)域的防火墻能夠很好的實現(xiàn)企業(yè)對不同敏感數(shù)據(jù)的安全控制需求。但在基于會話狀態(tài)的理想全冗余交叉的網(wǎng)絡(luò)連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態(tài),并將全部的會話狀態(tài)進行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設(shè)備都得到了充分的利用,減輕和降低了單設(shè)備的負載和單點故障引起切換帶來的業(yè)務中斷。第二組實驗部署在企業(yè)互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)結(jié)構(gòu)中,將軍事化、半軍事化及非軍事化控制區(qū)域的數(shù)據(jù)進行了嚴格的區(qū)域控劃分和數(shù)據(jù)控制,并通過行為控制審計設(shè)備嚴格地對軍事化區(qū)域數(shù)據(jù)交換進行控制、審計及記錄。安全與性能本來存在對立的一面,因此實驗二雖然在給企業(yè)的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網(wǎng)絡(luò)結(jié)構(gòu)勢必會對企業(yè)網(wǎng)絡(luò)性能造成一定的負面影響,企業(yè)可根據(jù)實際情況選擇網(wǎng)絡(luò)安全的程度。實驗二中針對該實驗中由于故障引起的雙機設(shè)備主備切換不一致導致鏈路中斷的現(xiàn)象進行了網(wǎng)絡(luò)結(jié)構(gòu)改造后形成了實驗三的網(wǎng)絡(luò)拓撲結(jié)構(gòu),實驗三的網(wǎng)絡(luò)結(jié)構(gòu)不僅解決了實驗二切換的故障問題,同時也將多組雙機網(wǎng)絡(luò)結(jié)構(gòu)的故障率降為最低,設(shè)備切換帶來的業(yè)務中斷時間降為最少。實驗三的網(wǎng)絡(luò)拓撲方案適用于目前多數(shù)企業(yè)的互聯(lián)網(wǎng)出口結(jié)構(gòu)。本文為企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計及安全部署,網(wǎng)絡(luò)故障處理提供了一定的實踐依據(jù)和說明。

本文通過三組實驗的網(wǎng)絡(luò)拓撲結(jié)構(gòu)的設(shè)計實現(xiàn)、故障測試分析及解決,對幾款目前國內(nèi)較流行的狀態(tài)防火墻和安全設(shè)備的雙機基本配置、工作模式、安全防范、故障檢測切換機制都有了基本的了解和認識,并給企業(yè)用戶在企業(yè)安全區(qū)域網(wǎng)絡(luò)拓撲結(jié)構(gòu)的設(shè)計方面提供了較好的理論應用和實踐基礎(chǔ)。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業(yè)安全網(wǎng)絡(luò)的合理設(shè)計提供的實踐證明,也為功能全面防火墻的設(shè)計和實現(xiàn)提供了重要的研究方向和思想依據(jù)。

參考文獻:

[1] 蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2002.

[2] 胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學出版社,2004:22-26

[3] 柯宏力.Intranet信息網(wǎng)絡(luò)技術(shù)與企業(yè)信息化[M].北京:北京郵電學院出版社,2000,24-32,71-82,150-176.

[4] 林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學,1997,13(3):41-43.

[5] 雷震甲,馬建峰.Internet安全和防火墻技術(shù)安全體系結(jié)構(gòu)[J].通信保密,1998(2).

[6] 劉曉輝.網(wǎng)管從業(yè)寶典――交換機路?由器?防火墻.重慶:重慶大學出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吳昕,李之棠.并行防火墻研究[J].計算機工程與科學,2000,22(2):54-57.

[8] 林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學,1997,13(3):41-43.

[9] 張云鵬.網(wǎng)絡(luò)安全與防護技術(shù)的研究及應用[D].中國優(yōu)秀博碩士學位論文全文數(shù)據(jù)庫,2006(6).