工業企業網絡安全范例6篇

前言：中文期刊網精心挑選了工業企業網絡安全范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

工業企業網絡安全范文1

企業辦公網絡存在的問題

（一）算機網絡的安全性和開放性存在的問題

現代社會，由于計算機網絡的全球性、開放性發展，使得上網普及到人們的生活和學習中去，其作用與影響力遠遠超出了人們的想象，他深入到社會和生活的方方面面，一旦癱瘓而不能正常工作，嚴重影響人們的生活質量，也使得無紙化辦公成為空想。從網絡辦公的安全現狀出發，把安全建設環境的重要性提到日程上面來。

（二）網絡犯罪和惡意無意病毒入侵與構建綠色網絡存在的問題

現代，由于時代的發展，在計算機方面愈多優秀人才。他們利用自身的優勢，深入企業內部竊取資料信息，非法獲取利潤。更有之，利用全網開放性特征，以歪門邪道入侵公司或銀行網站，非法謀取暴利[1]。

企業辦公網絡的安全管理

（一）建立網絡預警制度，做好安全防范

新形勢下，構建企業辦公網絡，做好日常防護，擴大社會主義精神文明建設，利用網絡辦公，提高員工工作效率?！胺彩骂A則立，不預則廢”，無論是一個企業還是個人還是整個國民經濟。建立良好的預警和防御機制，防范與未然。統觀網絡全局，首先建立網絡預警制度，制止黑客入侵，，從系統層面最大程度降低危害。對于網絡維護方面的專業技師來說，謊報的網絡預警機制，會將他們對網絡的安全失掉警惕心。這就很大程度上的致使黑客入侵，給辦公網絡造成毀滅性的打擊。（二）合理配置網絡信息資源

對于一立的計算機，必須首先安裝防毒軟件，對于整個網絡系統，必須要有全方位的防病毒方案。辦公網絡的技術維護人員，首先要設置好防火墻，及時地修復網絡漏洞。安裝殺毒軟件并在使用中定期升級軟件版本。對服務器系統管理員的賬號和密碼進行管理，防止網絡黑客對辦公網絡的破壞。一旦防火墻檢測到異常數據包，則直接丟棄，有效的防止病毒木馬的傳播，有效的保護整網的安全和穩定，發動聯動機制，確保安全是第一位的。一般企業網絡維護師只注重外域網的文件及防范數據包，排除不安全隱患的重心都投在那上面――內域網上。因管理員有意或者無意泄露甚至故意用黑客控制內域網全員，這是最大程度上對網絡資源的威脅。網絡信息資源固然是共享的，但一般用戶安全意識都比較淡薄，在日常的收發郵件中，甚至被黑客惡意跟蹤。需要利用服務器和防火墻將二者相對應的防毒軟件制成一系列完整全面的網絡結構平臺，對企業的辦公網絡體系和資源進行有效的配置和科學的管理，同時也可將遠程管理落實到實處。

（三）有效地防治病毒

系統管理員應充分考慮計算機正在運行的實時性防毒軟件的防毒效果和功能是否能保證系統的安全。再次分析，企業若不能按時治理好病毒防治，會否造成網絡的癱瘓及對企業造成的財產損失估價。大量統計數據顯示，引起網絡不安全的因素主要是網站維護者自身。首先他們缺乏必要的安全意識，在網上隨意瀏覽網頁，及網絡下載資源的不合理。在對外界進行數據交換時，管理和控制不到位，辨識不清盜版軟件。

（四）做好計算機數據修復技術

企業辦公網之間除了自己正常的辦公以外，還與其他主機相連，一旦遭遇黑客木馬襲擊，直接影響聯機的全網安全。需做好計算機日常維護工作，定期清理磁盤，掃除垃圾文件。如果系統癱瘓或重要數據丟失，恢復的難度有多大，費用有多高。首先需要對硬件進行全面體驗，針對自身企業的IT設備維修標準及制度，保證網絡系統的安全?，F在很多企業由于缺少專業的網絡維護人員，各人員使用的操作系統均限于單機殺毒軟件，使得企業辦公網絡的維護變得千差萬別，使得企業的安全管理變得極為復雜，企業的重要數據一旦泄露，遭到惡意攻擊之后，將會帶來極大的損失。

總結

工業企業網絡安全范文2

隨著我國計算機網絡技術的不斷進步，基于網絡業務系統的開放網絡環境，給人們的生活工作帶來了極大的方便，同時也促進企業的發展，人們在享受網絡方便的同時，網絡安全問題也越來越引起人們的重視。電力行業作為我國社會發展的動力來源，從2002年電力行業市場改革以來，電力行業在迅猛的發展。國家電網公司也提出：電力行業的發展應以科學技術為基礎，逐漸實現電力行業的信息化和現代化，因此，網絡信息系統的建設就迫在眉睫。目前我國供電企業內部還存在許多安全問題，如供電公司網站被破壞、信息被竊取等，這些問題都嚴重影響供電企業的正常發展，為了保證信息的安全性，目前大多采用加密技術、認證技術等，但是這些技術只能作為一般的預防，不能保證信息的完整性。而隨著數字簽名技術的發展，由于其自身的獨特優勢，可以很好的解決供電企業內部網絡安全問題，最終促進供電企業快速健康的發展。

2數字簽名技術

數字簽名技術的基礎是公開密鑰加密技術，其核心是借助加密技術的加密和解密算法體制來完成信息的數字簽名。通俗說，數字簽名就是數據單元上附加的一些數據，或者是對數據單元進行密碼變換，該數據變換可以使數據接收人員對數據單元的來源及數據完整性進行確認，并對數據進行保護，避免被人偽造。簽名機制本質性的特征是此簽名只能借助簽名人員的私有信息才能產生，即簽名人員的簽名只有他自己能夠唯一產生。當信息的收發雙方出現爭議時，第三方的仲裁機構只能依據消息的簽名來裁定該消息的真正發送方，來完成抵賴性的安全服務。

2.1數字簽名的特點

①數字簽名可以保障數據的完整性。若數據在傳輸過程中被修改或數據本來就是偽造的，就不能夠通過接受方數據簽名的認證。②數字簽名有不可抵賴性。數據的發送方對于他曾經發送的信息是不能抵賴的，因為其他人是不能對其數字簽名進行偽造的。

2.2數字簽名原理

數字簽名技術使用的基本程序是：發送方通過自己的私鑰對要發送的信息進行身份加密，接收方通過發送方的公鑰來解密發送方的身份，這樣就完成了信息的抗否定性；發送方通過接受方的公鑰對要發送的信息進行加密，接受方通過自己的私鑰對接收的信息進行解密，這樣就可以實現信息傳輸的安全。

3數字簽名技術在供電企業內部網絡中的應用

隨著供電企業規模的不斷擴大以及供電企業信息化的逐漸應用，供電企業內部網絡和互聯網的聯系越來越緊密，對于省、市級供電企業，一般會在開放的網絡環境中信息，其安全體系直接影響著企業的正常運轉。而基層供電企業，在負責人簽字、文檔傳送等環節上容易存在安全隱患?；谝陨蠁栴}，數字簽名技術在保證供電企業信息的完整性、可靠性、機密性等方面具有獨特的優勢。

3.1多人簽字

在供電企業實際運轉過程中，在報文傳輸中，通常會出現多人在同一報文上進行簽字。多人數字簽名一般通過以下方法實現：首先在供電企業內部設立一個簽名的順序，在進行下一個人員簽字時，只需要驗證上一個是否簽名，如果已經獲得批準。每個簽名的人員都可以知道前后人員的公開密鑰，最后簽名的只需把完成后邊的信息發送出去就可以了，而發送的信息已經被私有密鑰進行加密。而接收方可以利用自己的秘密鑰匙對信息記性解密，可以產生一個數字簽名。如果驗證成功，就會從簽名次序中分離下一個簽名，從而進行驗證工作。驗證簽名以及數字簽名的整個循環過程，不管是發送者還是接受者，都應該知道對方的公開密鑰，對整個簽名進行驗證工作，保證信息的安全性。對基層供電企業內部局域網信息系統來說，存在著人員少的特點，可由用戶被授權生成獨有密鑰時，進行統一管理分配工作，保證供電企業內部網絡的安全性。

3.2應用數字加密及簽名

數字簽名技術的應用雖能夠保障信息的真實性和完整性，但是該技術并不能對信息傳輸的保密性進行保障，信息內容能夠被知道發送方公鑰的任何人閱讀。為了保障網絡通信的安全，確保傳送信息的保密性、不可抵賴性以及完整性，就要對傳送的信息實行數字簽名及數字加密。該方式的特點是：①通信的保密性好。接收方之外的第三方是不能獲取傳輸的信息的，因為信息的接收方公開密鑰是進行加密的，只有通過接收方私有密鑰才可以進行解密。②可以保障信息的完整性。一旦傳輸的信息在傳送中被偽造或者修改，就不能夠通過接收方數字簽名的驗證。③不可抵賴性。發送方是不能對其曾發過的信息進行抵賴的，因為別人是不能對其數字簽名進行偽造的。

3.3加強密鑰管理與分配

供電企業中，由于應用系統使用廣泛，如財務系統等，信息的保密程度不同，因此，訪問權限也不同。為了防止某些用戶出現越權訪問的現象，應該建立用戶身份和權限的識別機制，因此，對于密鑰的管理和分配應進行嚴格監督，隨著公開密鑰技術在網絡應用中的規模不斷擴大，用戶也在不斷增長，需要建立一個完善的PIK體系來解決這些問題。從公共密鑰管理角度出發，數字證書作為一個媒介，通過PIK系統對證書等進行管理，建立一個安全的網絡環境。從而使數字簽名技術在供電企業內部網絡安全中發揮最大的作用。

4結語

工業企業網絡安全范文3

【關鍵詞】：信息；網絡；安全管理；策略

1 引言

隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢，我供電公司也在由企業信息化向信息化企業不斷的邁進。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。計算機病毒的泛濫；木馬程序帶來安全保密方面的隱患；易受黑客攻擊特別是洪流攻擊；垃圾郵件阻塞網絡等各類網絡安全的威脅開始蔓延到應用的環節，其中Windows占70%，UNIX占30%。因此網絡的信息安全防護是一個至關重要的問題，無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。網絡的安全防護措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。本次調研也正是基于此目的。

2 信息網絡安防的加密策略和安全策略技術

2.1 目前計算機信息網絡面臨的威脅

計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；還有可能是外來黑客對網絡系統資源的非法使有，歸結起來，針對網絡安全的威脅主要有以下三種：（1）人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。（2）人為的惡意攻擊：這是計算機網絡所面臨的最大威脅，惡意的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。（3）網絡軟件的漏洞和“后門”：網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善導致的。另外，軟件的“后門”都是軟件公司的設計編程人員為了方便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。

2.2 信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

密碼技術是網絡安全最有效的技術之一。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。

2.3 計算機信息網絡的安全策略

（1）物理安全策略。物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

（2）訪問控制策略。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

3 安防管理措施

針對我供電公司目前的網絡現狀，提出以下幾點安防管理措施。

3.1 入網訪問控制

入網訪問控制為網絡訪問提供了第一層訪問控制。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。用戶帳號只有系統管理員才能建立，管理員對普通用戶的帳號使用進行控制和限制，控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。同時對所有入網用戶的訪問進行審計，如果多次輸入口令不正確，則認為是非法用戶的入侵，給出報警信息。

3.2 網絡的權限控制

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施，網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；（3）審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以通過訪問控制表來描述。

3.3 目錄級安全控制

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權 限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。網絡系統管理員為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

3.4 屬性安全控制

當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

3.5 網絡監測和鎖定控制

網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

3.6 防火墻控制

防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻擋外部網絡的侵入。

工業企業網絡安全范文4

關鍵詞：縣級電力企業；信息網絡安全；安全策略；防病毒

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 15-0000-02

1 前言

隨著信息化時代的到來，企業內部的信息化和網絡化的應用逐漸廣泛。電力行業作為國民經濟的重要組成部分，電力已經在人們的正常生活中不可缺少。電力系統的是否安全可靠，關系著國民經濟的發展，更影響著人們的日常生活。然而電力企業信息網絡的發展還不健全，尚存在很多安全問題。這些問題正是黑客和病毒入侵的目標?？h級供電企業是整個電力企業的基本單位，只有保證縣級供電企業信息網絡的安全，才能使整個電力行業正常的運行，因此對其信息網絡安全的研究受到越來越多的關注。

2 信息網絡安全概述

信息網絡安全是指運用各種相關技術和管理，使網絡信息不受危害和威脅，保證信息的安全。由于計算機網絡在建立時就存在缺陷，本身具有局限性，使其網絡系統的硬件和軟件資源都有可能遭到破壞和入侵，嚴重時甚至可能引起整個系統的癱瘓，以至于造成巨大的損失。相對于外界的破壞，自身的防守時非常艱巨的，必須保證每個軟件、每一項服務，甚至每個細節都要安全可靠。因此要對網絡安全進行細致的研究，下面介紹其特征：

2.1 完整性

主要是指數據的完整性。數據信息在未經許可的情況下不能進行任何修改。

2.2 保密性

未經授權的用戶不能使用該數據。

2.3 可用性

被授權的用戶可以根據自己的需求使用該數據，不能阻礙其合法使用。

2.4 可控性

系統要能控制能夠訪問數據的用戶，可以被訪問的數據以及訪問方式，并記錄所有用戶在系統內的網絡活動。

3 我國縣級供電企業信息網絡系統安全存在的問題

3.1 網管技術水平低

縣級供電企業的網絡系統采用的防毒軟件與上級企業的不統一。有些采用單機版的防毒軟件，然而這種軟件對如此龐大的信息網絡防護能力有限，并不能達到應用的保護作用；有些采用專業的安全產品，但相關的技術人員沒有相應的技術，不能很好地運用這些軟件，使其不能發揮保障網絡安全的作用，系統網管的技術水平有待提高；有的企業甚至沒有部署相關的安全產品，更不能保護網絡安全。這些都要求提高系統網管的技術水平。無論是在維護網絡系統硬件設施，建立和更新數據信息，還是在系統遭到威脅時及時地進行防護，都需要相應的技術作為支撐。

3.2 系統設備和軟件存在漏洞

網絡系統的發展時間很短，因此其操作系統、協議和數據庫都存在漏洞，這些漏洞變成為黑客和病毒入侵的通道；存儲介質受到破壞，使系統中的信息數據丟失和泄漏；系統不進行及時的修補，采用較弱的口令和訪問限制。這些都是導致信息網絡不安全的因素。網絡是開放性的，因此非常容易受到外界的攻擊和入侵，入侵者便是通過運用相關工具掃描系統和網絡中的漏洞，通過這些漏洞進行攻擊，致使網絡受到危害，資料泄露。

3.3 制度不完善

目前對于信息網絡的建立，數據的使用以及用戶的訪問沒有完善的規章制度，這也導致了各個縣級供電企業信息網絡系統之間的不統一，在數據傳輸和利用上受到限制。同時在目前已經確立的信息網絡安全的防護規章制度的執行上，企業也不能嚴格的執行。

4 提高網絡安全方法

4.1 網絡安全策略

信息網絡是一個龐大的系統，包括系統設備和軟件的建立、數據的維護和更新、對外界攻擊的修復等很多方面，必須各個細節都要保證安全，沒有漏洞。然而很多供電企業，尤其是縣級企業并沒有對其引起足夠的重視，只是被動地進行防護。整體的安全管理水平很低，沒有完備的網絡安全策略和規劃。因此要想實現信息網絡的安全，首先需要制定一個全面可行的安全策略以及相應的實施過程。

4.2 提高網絡安全技術人員技術水平

信息網絡的運行涉及很多方面，其安全防護只是其中一部分，因此在網絡安全部分要建立專業的安全技術隊伍。信息網絡中的一些系統和應用程序更新速度不一致，也會造成網絡的不安全。一般企業的網絡管理員要兼顧軟硬件的維護和開發，有時會顧此失彼，因此要建立更專業的安全技術隊伍，使信息網絡的工作各有分工，實現專業性，提升整體網絡安全技術水平，提高工作效率。

4.3 完備的數據備份

當信息網絡受到嚴重破壞時，備份數據便發揮了作用。不論網絡系統建立的多完善，安全措施做得多到位，保留完備的備份數據都是有備無患。進行數據備份，首先要制定全面的備份計劃，包括網絡系統和數據信息備份、備份數據的修改和責任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數據，保證數據的完整性和實時性。同時網絡管理人員的數據備份和恢復技術的操作要很熟練，這樣才能保障備份數據的有效性。

4.4 加強防病毒

隨著網絡技術的發展，網絡病毒也越來越多，這些病毒都會對信息網絡造成或多或少的危害。防病毒不僅需要應用專業可靠的防毒體系，還要建立防火墻，屏蔽非法的數據包。

對于防毒，在不同的硬件上要安裝相應的防毒程序。例如工作站上應該安裝單機的防毒程序；主機上則安裝主機防毒程序；網關上安裝防病毒墻；而這些不同的防毒程序的升級可以通過設立防毒控制中心，統一管理，由中心將升級包發給各個機器，完成整個網絡防毒系統的升級。這樣有針對性的防毒程序能更有效的進行病毒防護。

防火墻可以通過檢測和過濾，阻斷外來的非法攻擊。防火墻的形式包括硬件、軟件式和內嵌式三種。內嵌式防火墻需要與操作系統結合，性能較高，應用較為廣泛。

5 具體措施

5.1 增強管理安全

在網絡安全中管理是最重要的，如果安全管理制度不完善，就會導致正常的網絡安全工作不能有序實施。信息網絡的管理包括對網絡的定期檢查、實時監控以及出現故障時及時報告等。為了達到管理安全，首先，要制定完整詳細的供電企業信息網絡安全制度，并嚴格實施；其次，對用戶的網絡活動做記錄并保存網絡日志，以便對外部的攻擊行為和違法操作進行追蹤定位；還應制定應急方案，在網絡系統出現故障和攻擊時及時采取措施。

5.2 網絡分段

網絡分段技術是指在網絡中傳輸的信息，可以被處在用以網絡平臺上其他節點的計算機截取的技術。采用這種技術可以限制用戶的非法訪問。比如，黑客通過網絡上的一個節點竊取該網絡上的數據信息，如果沒有任何限制，便能獲得所有的數據，而網絡分段技術則可以在這時，將黑客與網絡上的數據隔離，限制其非法訪問，進而保護了信息網絡的安全。

5.3 數據備份

重要數據的備份是網絡安全的重要工作。隨著網絡技術的迅速發展，備份工作也必須要與之一致，保證實時性和完整性，才能在出現緊急問題時發揮其應有的作用，恢復數據信息。整個龐大的信息網絡，備份的數據量也是很大的，要避免或減少不必要的備份；備份的時間也要恰當地選擇，盡量不影響用戶的使用；同時備份數據的存儲介質要選擇適當。

5.4 病毒檢測和防范

檢測也是信息安全中的一個重要環節。通過應用專業的檢測工具，對網絡進行不斷地檢測，能夠及時的發現漏洞和病毒，在最短時間內采取相應的措施。

病毒防范技術有很多，可以先分析網絡病毒的特征，建立病毒庫，在掃描數據信息時如果對象的代碼與病毒庫中的代碼吻合，則判斷其感染病毒；對于加密、變異的不易掃描出來的病毒可以通過虛擬執行查殺；最基本的還是對文件進行實時監控，一旦感染病毒，及時報警并采取相應的措施。

6 結束語

供電企業信息網絡安全涉及的范圍很廣，且由于信息化和網絡化的高速發展，其安全措施也要與之發展速度相一致?？h級供電企業作為電力行業的基本單元，也是供電企業信息網絡安全工作的基本單元，而網絡的發展時期還很短，尚存在很多問題，因此其網絡安全工作任重而道遠。要保證信息網絡的安全，第一，要制定完善可行的網絡安全策略，并在日常工作中嚴格執行；第二，提高網絡安全技術隊伍的技術水平，采用先進有效的安全技術；第三，制定健全的數據備份制度，建立完備的備份數據，并及時更新，保證其實時性和完整性；第四，采取防病毒措施，實時監測病毒是否入侵，一旦發現，立即報警并進行處理。

信息網絡的安全是個永久的問題。企業必須根據網絡和信息的發展，不斷地改善網絡安全策略和措施，才能保證數據信息的完整和安全。

參考文獻：

[1]趙江華，楊雙吉，賈海鋒.縣級供電企業信息網絡安全的探討[J].華北水利水電學院學報，2011，4

[2]許彬，楊伯超.縣級供電企業網絡安全架構初探[J].湖南電力，2006，1

[3]湯寧平.供電企業業務網絡安全解決方案[J].寧夏電力，2009，1

工業企業網絡安全范文5

關鍵詞： 網絡信息安全； 計算機； APT； 安全防御； 惡意威脅

中圖分類號： TN711?34 文獻標識碼： A 文章編號： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網企業管理信息化、電網運行自動化、電力設備智能化的不斷發展，電網企業信息安全愈發重要。信息化已成為電力企業工作中的重要組成部分，各類工作對網絡的高度依賴，各類信息以結構化、非結構化的方式儲存并流轉于網絡當中，一旦信息網絡被攻破，則往往導致服務中斷、信息泄漏、甚至指令錯誤等事件，嚴重威脅生產和運行的安全。因此，保障網絡信息安全就是保護電網企業的運行安全，保障網絡安全是電網企業的重要職責[1]。

目前的網絡信息安全形勢依然嚴峻，近年來，業務從單系統到跨系統，網絡從零星分散到大型化、復雜化，單純的信息安全防護技術和手段已經不能滿足企業安全防護的需要，應針對性地研究具有縱深防御特點的安全防護體系，以信息安全保障為核心，以信息安全攻防技術為基礎，了解信息安全攻防新技術，從傳統的“知防不知攻”的被動防御向“知攻知防”的縱深積極防御轉變，建立全面的信息安全防護體系。

1 概 述

從廣義層面而言，網絡信息安全指的是保障網絡信息的機密性、完整性以及有效性，涉及這部分的相關網絡理論以及技術都是網絡信息安全的內容。從狹義層面而言，網絡信息安全指的是網絡信息的安全，主要包括網絡軟硬件及系統數據安全[2]。網絡信息安全需要保證當網絡受到惡意破壞或信息泄露時，網絡系統可以持續正常運行，為企業提供所需的服務。

通過對我國某電網企業及其下轄電力單位的調研，以及對近5年電力信息資產信息安全類測評結果的統計得知，電網企業現存的網絡安全情況主要分為以下3類：網絡安全風險與漏洞弱點事件、數據安全風險與漏洞弱點事件、管理類安全風險與漏洞弱點事件。整體上看，電網企業的信息安全問題仍不容樂觀，近年來隨著網絡的復雜化，攻擊的新型化和專業化，網絡安全防護的情況亟待加強?？傮w而言，首先要加強并提升網絡、應用等方面安全水平，保證信息源頭的安全情況；其次加強管理類安全，特別是人員管理、運維管理等方面；最后研究分析最新攻防技術的特點，結合電網實際現狀，構建適用于現有網絡環境與架構的信息安全縱深防御體系。

本文主要針對第三點展開論述，研究包括高級持續威脅（APT）防護技術、漏洞掃描技術等新型的攻擊及其防護技術，提取在復雜網絡系統中的防御共同點，并給出一類策略用于分析網絡信息安全防御的有效性。

2 信息安全的攻防新技術

電網企業所依賴的信息安全隔離與防御技術主要包括數據加密技術、安全隔離技術、入侵檢測技術、訪問控制技術等。一方面，通過調研與統計分析。目前電網的信息安全建設主要以防止外部攻擊，通過區域劃分、防火墻、反向、入侵檢測等手段對外部攻擊進行防御，對內部的防御手段往往滯后，電網內部應用仍然存在一定的安全風險與漏洞弱點。如果一道防線失效，惡意的攻擊者可能通過以內部網絡為跳板威脅電網企業的安全；另一方面，電網企業中目前使用的防御技術一般是孤立的，未形成關聯性防御，而目前新型的攻擊往往會結合多個漏洞，甚至是多個0day漏洞進行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強。因此，要構建信息安全防御體系，僅憑某單一的防護措施或技術無法滿足企業的安全要求，只有構建完整的信息安全防護屏障，才能為企業提供足夠的信息安全保障能力。

經過分析，目前針對電網企業的新型攻防技術有如下幾類：

2.1 高級持續威脅攻擊與防護技術

高級持續威脅（APT）是針對某一項有價值目標而開展的持續性攻擊，攻擊過程會使用一切能被利用的手段，包括社會工程學攻擊、0day漏洞攻擊等，當各攻擊點形成持續攻擊鏈后，最終達到攻擊目的。典型的APT攻擊案例如伊朗核電項目被“震網（Stuxnet）”蠕蟲病毒攻擊，通過攻擊工業用的可編程邏輯控制器，導致伊朗近[15]的核能離心機損壞。

根據APT攻擊的特性，企業可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、監測網絡數據滲出等多個環節進行檢測，主要涉及以下幾類新型技術。

2.1.1 基于沙箱的惡意代碼檢測技術

惡意代碼檢測中最具挑戰性的是檢測利用0day漏洞的惡意代碼，傳統的基于特征碼的惡意代碼檢測技術無法應對0day攻擊。目前最新的技術是通過沙箱技術，構造模擬的程序執行環境，讓可疑文件在模擬環境中運行，通過軟件所表現的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測技術

傳統的入侵檢測系統IDS都是基于特征（簽名）的深度包檢測（DPI）分析，部分會采用到簡單深度流檢測（DFI）技術。面對新型威脅，基于DFI技術的應用需要進一步深化。基于異常的流量檢測技術，是通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術

由于APT攻擊的隱蔽性與持續性，當攻擊行為被發現時往往已經持續了一段時間；因此需要考慮如何分析信息系統遭受的損失，利用全包捕獲及分析技術（FPI），借助海量存儲空間和大數據分析（BDA）方法，FPI能夠抓取網絡定場合下的全量數據報文并存儲，便于后續的歷史分析或者準實時分析。

2.2 漏洞掃描技術

漏洞掃描技術是一種新型的、靜態的安全檢測技術，攻防雙方都會利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網絡中潛在的漏洞；另一方面，防御者利用它能夠及時發現企業或單位網絡系統中隱藏的安全漏洞。以被掃描對象分類，漏洞掃描主要可分為基于網絡與基于主機的安全漏洞掃描技術。

2.2.1 基于網絡的安全漏洞掃描技術

基于網絡的安全漏洞掃描技術通過網絡掃描網絡設備、主機或系統中的安全漏洞與脆弱點。例如，通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在?；诰W絡的安全漏洞掃描技術的優點包括：易操作性，掃描在執行過程中，無需目標網絡或系統主機Root管理員的參與；維護簡便，若目標網絡中的設備有調整或變化，只要網絡是連通的，就可以執行掃描任務。但是基于網絡的掃描也存在一些局限性：掃描無法直接訪問目標網絡或系統主機上的文件系統；其次，掃描活動不能突破網絡防火墻[3]。

2.2.2 基于主機的安全漏洞掃描技術

基于主機的安全漏洞掃描技術是通過以系統管理員權限登錄目標主機，記錄網絡或系統配置、規則等重要項目參數，通過獲取的信息與標準的系統安全配置庫進行比對，最終獲知系統的安全漏洞與風險。

基于主機的安全漏洞掃描技術的優點包括：可使用的規則多，掃描結果精準度高；網絡流量負載較小，不易被發現。該技術也存在一些局限性：首先，基于主機的安全漏洞掃描軟件或工具的價格昂貴；其次，基于主機的安全漏洞掃描軟件或工具首次部署的工作周期較長。

3 基于最小攻擊代價的網絡防御有效性分析策略

惡意攻擊總是以某一目標為導向，惡意攻擊者為了達到目標會選擇各種有效的手法對網絡進行攻擊。在復雜網絡環境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價，則對應能達到提高有效防御的能力?；谶@個假設，這里展示一種在復雜網絡環境下分析攻擊有效性的策略，并依此計算從非安全區到目標區是否存在足夠小的攻擊代價，讓惡意攻擊可以獲取目標。如果存在，則可以被惡意攻擊利用的路徑將被計算出來；如果不存在，則證明從非安全區到目標區的安全防御能力是可以接受的。

以二元組的形式描述網絡拓撲圖[4][C，]其中節點是網絡中的各類設備，邊表示設備間的關聯關系。假設非安全區域為[Z，]目標區域為[D。]在網絡中，攻擊者如果能達到目標，必然至少存在一條從非安全區節點到目標節點[d]的通路[p，]且這條通路上的攻擊代價小于值[w。]其中，攻擊代價指攻擊者能夠利用攻擊工具、系統缺陷、脆弱性等信息，實現其對目標的入侵行為所付出的代價。直觀地，由于攻擊行為往往會因遇到安全設備和安全策略的阻攔，而導致其成功實現其攻擊目的的時間、精力甚至資金成本提高，攻擊者為達到其攻擊目標所付出的所有的行為成本即攻擊代價。

在圖[G]中，每一個節點[v]具有輸入權限[q]和獲利權限[q]（如表1所示）、本身的防護能力[pr]以及風險漏洞數L（L≥0）。攻擊者能力是指攻擊者通過輸入權限[q，]通過任意攻擊手段，在節點[v]上所能獲取的最高權限值（獲利權限）[q′。]直觀地，輸入權限代表攻擊者在對某節點進行攻擊前所擁有的權限，如Web服務器一般均具有匿名訪問權限；獲利權限代表攻擊者最終可以利用的系統權限。

最短攻擊路徑是從非安全區域[Z]中任意節點[z]到目標節點[d]所有攻擊路徑中，防護成功率最低的[Pr]所對應的路徑。最短攻擊路徑所對應耗費的攻擊代價為最小攻擊代價[4]，也是該網絡的防護能力有效性分值。

攻擊代價閾值：一旦攻擊者付出的攻擊代價超過其預期，攻擊者很大程度上將會停止使得攻擊代價超限的某一攻擊行為，轉而專注于攻擊代價較小的其他攻擊路徑。攻擊代價閾值即攻擊者為達到目標可接受的最大攻擊代價。如果防護能力有效性分值小于攻擊代價閾值，則說明攻擊目標可以達到。

攻擊代價閾值一般可以通過人工方式指定，本文采用德爾斐法，也被稱為專家咨詢法的方式來確定。經過專家分析和評判，將攻擊代價閾值設定為[t，]當攻擊路徑防護能力小于[t]即認為攻擊者會完成攻擊行為并能成功實施攻擊行為。

4 網絡防御有效性分析應用

假設在電網企業復雜網絡環境場景下存在一類新型的APT攻擊，網絡中使用兩種策略A，B進行攻擊防御。策略A采用了現有的隔離與防御技術，策略B是在現有基礎上增加應用了APT防御技術。計算兩類策略下的最小攻擊代價，并進而對APT防護效果進行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個簡化的復雜網絡環境實例拓撲，其中DMZ區部署的Web服務器為內、外網用戶提供Web服務，電網地市局局域網的內部用戶不允許與外網直接連接，限網。各安全域之間具體訪問控制策略如下：

（1） 只允許地市局局域網用戶訪問DMZ區Host2（H2）上的IIS Web服務和Host3（H3）上的Tomcat服務；

（2） DMZ 區的H2 允許訪問H3上的Tomcat服務和IDC區Host4（H4）上的Oracle DB服務；

（3） 禁止H2和H3訪問Domino服務器Host5（H5）；

（4） H5允許訪問DMZ的H2和H3及IDC區的H4。

4.2 效果分析

通過上述計算結果表明，在應用策略A與B情況下，局域網用戶到DMZ區域目標主機存在的攻擊路徑的防護有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過DMZ區的H2為跳板，攻擊IDC的目標主機H4，最短攻擊路徑的防護有效性分值只有0.51，說明局域網內的攻擊者能在花費較小代價的情況下，輕易地獲取內網DMZ或IDC服務器的系統權限，從而造成較大的危害。而增加APT防護設備之后，通過DMZ區的H2為跳板，攻擊IDC的目標主機H4，防護有效性分值提升為0.979，其他攻擊路徑的防護有效性也有明顯提高。

策略A與策略B的對比結果表明，在DMZ區域有APT防護技術情況下，網絡環境下整體的隔離與防御能力得到了明顯提升，從而驗證了隔離與防御新技術的防護效果。

5 結 語

在新形勢、新技術下，我國電網企業網絡信息安全仍面臨著嚴峻的挑戰，應當高度重視網絡信息安全工作，不斷發展完善信息安全防御新技術，改善網絡信息安全的水平。單純使用某種防御技術，往往已無法應對快速變化的安全防御需求，只有綜合運用各種新型的攻防技術，分析其關聯結果，并通過網內、網間各類安全設備、安全措施的互相配合，才能最終建立健全網絡信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業應用的安全、穩定運行。

參考文獻

[1] 高子坤，楊海洲，王江濤.計算機網絡信息安全及防護策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應對飛速發展的計算機網絡的安全技術探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術的網絡安全評估方法研究[J].網絡安全技術與應用，2012，8（6）：9?11.

[4] 吳迪，馮登國，連一峰，等.一種給定脆弱性環境下的安全措施效用評估模型[J].軟件學報，2012，23（7）：1880?1898.

工業企業網絡安全范文6

關鍵詞：網絡；安全；信息化

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)15-30654-02

The Design and Implementation of Group Network Platform

WANG Fei, SHI Yun-yu, XUE Xun-ming, CHEN Kai

(China Tobacco Anhui Industrial Corporation Hefei Cigarette Factory，Hefei 230081，China)

Abstract:In the current economic situation,enterprise reorganization surges wave upon wave, trans-region management or the transnational management has become the inevitable trend of enterprise's development.Because of the collective operation pattern and the decentralization characteristic of organization layout, enterprise must use the information technology to enhance the ability to remote management. But under the traditional management pattern,metropolitan area network has been unable to adapt the need of communication between the regions.The author works in the tobacco enterprise, this text mainly discusses the design and implementation of the reorganized group network platform.

Key words:network; security; information

1 引言

21世紀的企業競爭益發呈現出大魚吃小魚，快魚吃慢魚的特征。為了應對企業之間這種日益激烈的競爭，企業紛紛加大整合與并購力度以增加規模優勢，同時對企業組織機構與流程進行再造與優化。而上述這些變革都必須依靠信息化手段才能實現，尤其是跨地域集團企業對這方面需求尤其迫切。

筆者在煙草企業工作，以煙草行業為例，針對企業聯合重組的信息化業務要求，著重從網絡的系統結構、服務質量及必要的安全性與穩定性方面來探討基于集團架構模式下城際間網絡平臺的設計、實現及應用管理。

2 現狀及需求分析

2003年前后，中國煙草先后實現工商分設，工業系統又進行了大范圍的聯合重組與品牌整合，各類信息系統的深入研究與實施，極大的優化了企業資源配置，但網絡環境基本沒有改變，實時性、穩定性、安全性以及可管理性都無法滿足企業的發展要求。具體主要體現在以下幾個方面：

2.1 網絡結構無法滿足應用要求

中煙工業企業局域網絡組建較早，全省五家工業企業網絡均通過2～4M的SDH線路與商業公司網絡核心連接，不論是辦公自動化系統、視頻會議應用，還是企業之間的數據傳輸，都必須得依托于商業公司的網絡載體，尤其是工商分設后，中煙工業公司網絡應用更趨集中，但與其他分支企業的數據通訊以及因特網業務仍然是通過商業公司中轉，從而形成網絡應用的瓶頸，并且造成工商業務重點與系統維護要求上的矛盾。

2.2 網絡應用與邊界服務質量未能優化

雖然當初各工業企業網絡方案設計時，已充分考慮到擴展性及冗余性要求，但隨著業務系統的增多，無論是企業內還是企業邊界，網絡服務質量可能都不高，性能上也未必能滿足擴展后的應用要求。如視頻會議、辦公自動化，生產經營決策、EAS等等，都是工業企業的一些常規信息應用，這些業務的訪問量及其對網絡帶寬實時性要求都各不相同，重要性也存在區別，如何根據實際需要來合理分配網絡資源，提高網絡服務質量？這是現行網絡系統無法解決且需要認真考慮的問題。

2.3 系統網絡無法管理，診斷維護上難以界定

目前，中煙工業公司核心設備均部署在公司內部，與其他工業企業的連接則是通過商業公司線路中轉。因為工業公司與商業公司的業務側重點不同，對于應用中存在的網絡故障或服務器應用問題，很大程度上就必須依靠商業公司技術人員協助解決，而某些測試調試工作則可能與其工作要求不太相符，或是存在矛盾，從而造成問題無法界定，故障難以及時解決。

2.4 硬件鏈路的安全冗余及邊界的基本防護

煙草行業信息化建設時間并不算很長，許多應用都是在不斷的摸索中前進。面對煙草行業深層次改革與信息化程度的不斷提高，網絡與信息安全變得越來越重要。但由于煙草分支工業網絡組建相對較早，部分核心鏈路上的冗余未能進行完全部署，安全上僅在公司企業邊界部署了部分防火墻設備，防范功能不完善，設置上也不夠細化，一旦商業公司網絡維護或是分支機構病毒爆發，都可能影響到整個工業企業的生產運行與數據傳輸，損失將不可估量。

3 系統建設目標與設計原則

根據當前煙草企業信息化實施情況及業務系統的運行情況來看，參照網絡七層協議模型，中煙系統網絡設計需要著重從應用、安全、管理及服務質量等幾個方面進行整體考慮，合理利用并完善現有資源與網絡，最終構建成一個獨立、穩定、安全、可靠的高性能廣域網絡。

3.1 設備選型原則

中煙系統廣域網需要充分滿足省內工業企業之間信息傳遞的穩定性與集中性管理要求，并適當考慮未來幾年企業發展與系統擴展問題。因為中煙系統中心網絡需要能快速的處理核心數據，而對系統內部路由設置要求相對比較簡單，僅需實現幾家分支企業的互聯，考慮到網絡設備的長期維護與工作協同性問題，核心路由交換機仍然采用思科品牌的7609。對于防火墻設備可以針對不同工業企業分支的應用情況，采用思科、天融信或者fortigate等品牌防火墻。對于防病毒系統，趨勢網絡版有時很難及時發現病毒，對于木馬的查殺效果一般，而瑞星可能有時占用資源較多，所以從病毒查殺處理能力與應用性能方面考慮，我們采用卡巴斯基網絡版與服務器版相結合的方式進行基本的防護。

3.2 鏈路（功能）結構設計原則

根據中煙工業公司的統一規劃與部署，中煙辦公室與中煙機房的位置位于同城的不同地點，距離相差幾公里。由于地理位置上的限制，若要實現集中監控與管理的目的，結構上可以考慮租用電信裸纖，完成中煙機房與中煙公司總部之間快速鏈路通訊。另一方面，為了便于遠程維護，中煙機房與省內其他工業企業之間的鏈路需要進行調整，將工業企業原先接至商業中心機房的SDH線路移接到中煙中心機房，并根據實際需要考慮是否進行帶寬的擴展。同時，為了建設工業系統自身獨立的廣域網系統，還需要考慮中煙工業公司與國家局鏈路的直連，然后根據工商間協商情況，考慮利用工業與商業公司之間的鏈路，實現工業與商業網絡的應急備份冗余要求。

3.3 系統部署原則

基本的網絡硬件搭建完成后，需要有一定的規則與協議進行管理與控制，以保證良好的傳輸性能。中煙系統網絡的路由選擇協議需要能滿足快速性、穩定性、靈活性及擴展性的大型網絡設計要求。根據行業網絡實際情況及各種協議的優缺點對比分析，OSPF則具有較高的效率，產生的網絡開銷少，且對鏈接失敗的響應速度非?？?，可以很好地擴展到大型網絡，對中煙網絡系統的整體部署具有較強的適用性。

3.4 安全管理原則

因為中煙工業系統機構布局較為分散，各分支企業的網絡安全產品及防范情況也各有不同，為了保證中煙工業系統網絡核心服務的安全與穩定，所以有必要對系統網絡進行安全管理與防護。原則上，中煙系統網絡核心與分支機構之間需要部署防火墻與防病毒產品，對必要的危險端口進行阻斷，并設置安全訪問列表與服務端口，以降低相互間病毒傳播的風險。

4 整體方案設計

4.1 網絡拓撲與結構設計

中煙系統廣域網絡負責全省工業企業數據業務的通訊，其承載的內容主要包括視頻會議、視頻監控、生產業務應用及辦公系統等，由于這些應用服務相對比較集中，且穩定性要求較高，所以網絡核心應側重于高性能的數據處理能力，且得有鏈路冗余。為此我們采用二臺CISCO7609作為核心并形成備份，各分支工業企業分別通過2M的SDH線路接至不同的7609上，以達到鏈路冗余與負載均衡的應用目的。同時，為了能夠形成工商之間的數據業務互通與網絡應急備份，我們將中煙系統7609通過4M的SDH線路或裸纖租用的方式與商業的網絡核心7507進行互連，以保證省內各項信息業務的暢通，以及災難情況下的網絡核心冗余備份。

另一方面，由于各分支工業企業與國家局已經有自己獨立的局域網，所以可直接將分支企業及國家局路由器與核心7609連接，并通過7609上的防火墻模塊進行基本的隔離與防護。而對于核心服務器區域，由于其安全性要求較高，所以也可單獨配置一臺具有防病毒功能的千兆防火墻設備與7609進行連接，并進行安全訪問設置，實現辦公區域與服務器區域的分離保護。 同時，為了實現因特網互聯服務，需要單獨開通服務器區域100M寬帶上網服務，通過某些支持病毒與入侵檢測功能的防火墻對網絡流量進行限制與保護。

簡單拓撲結構示意圖如圖1所示。

4.2 系統部署與實施

高性能的網絡需要有強大的硬件作為支撐，同時也需要軟環境上的合理設置，并在安全上進行必要的防范。因而在系統網絡組建過程中，可考慮結合以下幾個方面進行部署實施：

(1)對核心網絡設備及分支設備的路由選擇協議、網絡區域及地址分配情況進行設置，包括鏈路冗余與負載均衡設置，以實現故障時備份路由的快速切換。

圖1 簡單系統網絡拓撲結構示意圖

(2)對辦公計算機及服務器區域設備進行網絡防病毒軟件的部署與邏輯網段的劃分，以盡可能降低病毒的影響范圍。

(3)對核心設備進行分類流量設置及防火墻模塊訪問的策略設置，根據應用情況合理分配網絡帶寬資源，并限制必要的地址與服務訪問范圍，過濾部分垃圾信息，以提高設備的網絡服務質量。

(4)部署7609上的入侵流量分析模塊，重點對服務器區域及網絡邊界進行檢測與分析，盡量做到預先診斷并進行控制。而對于其他部分的入侵流量檢測或未經過核心設備的異常流量，可視7609上流量分析模塊的資源占用情況而定，也可結合其它入侵檢測系統或監測軟件進行考慮。

4.3 系統性能測試

中煙系統廣域網基本上是一個新建的系統，涉及的內容和范圍較多，如何保證這些系統或產品之間協同工作，判斷其工作性能是否達到了我們的應用要求，這需要有套測試體系：首先，對于網絡鏈路上的冗余功能或備份路由進行模擬測試。其次，分段對服務器區域設備或其他分支企業設備進行并發連接與下載性能測試，根據實際情況可考慮結合某些測試軟件進行。第三、對防火墻設備的訪問列表及相關策略進行分類測試，包括部分防病毒軟件與流量分析模塊的應用與升級測試。第四、通過試運行觀察相關功能模塊的作用是否符合要求。

除此之外，可能還有其他的一些專業的性能指標或測試方法，需要結合業主實際需要進行了解與考慮。

4.4 網絡系統管理與維護

中煙系統廣域網絡由于分支企業計算機較多，因而需要進行分級管理，而為了保障企業核心應用的服務安全，可考慮結合以下幾個方面進行完善：

首先，應統一計算機信息庫管理，包括人員、地址、計算機基本配置信息等，對于變動或移動計算機，需要進行統一登記與更新辦理。

其次，對于統一部署的網絡防病毒軟件及入侵檢測與流量分析系統，實現統一監控管理，輔助進行預先診斷與控制。

第三，加強互聯網的訪問監控與分類流量限制，考慮進行域管理及上網行為管理的部署實施，對客戶端用戶進行權限控制，防止不必要的流量下載與病毒傳播。

第四，部署遠程程序安裝及漏洞補丁分發軟件的部署，及時對客戶端進行軟件升級或補丁安裝，提高安全性。

第五，根據重要性要求，對不同分支企業或區域內的計算機進行邏輯分段管理，設置特定的訪問權限，對部分區域進行隔離保護。

第六，配合進行網絡管理平臺的搭建與日志服務器系統的建立，對路由交換及服務器設備的運行情況及端口狀態、地址故障等信息進行記錄，以便排錯跟蹤。

第七，結合部分網絡分析與測試軟件，輔助進行抓包分析，對出現的異常情況進行初步的診斷。第八，配合專業的技術培訓與制度保障。

5 結束語

信息化能夠提高企業的技術和管理水平，促進企業業務流程的重組和組織結構的優化，有效降低企業成本,增強其產品在市場中的競爭力。集團廣域網系統的組建，有效的將工業企業的網絡資源進行了整合，并進行優化與安全設計，實現了統一集中管理，這無疑將為信息化建設與企業發展提供更廣闊的基礎平臺，也為更高層次上的管理決策提供了技術與安全保障。

參考文獻：

[1]李建雨，肖松嶺. 網絡組建與應用大全[J]. 北京：電子科技大學出版社，2006.

[2]王達. 網管員必讀[J]. 北京：電子工業出版社，2005.

[3]張常有. 網絡安全體系結構[J]. 成都：電子科技大學出版社，2006.