公司網絡安全管理辦法范例6篇

前言：中文期刊網精心挑選了公司網絡安全管理辦法范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

公司網絡安全管理辦法范文1

關鍵詞：網絡結構；數據備份；網絡管理

1、宣鋼計算機局域網簡介

宣鋼計算機局域網始建于2002年，網絡實現了東、西區通訊中心、公司大樓三個主節點與各子單位二級節點之間千兆互連和百兆到桌面，實現了宣鋼公司網絡與Internet互連，為收集、了解國內外市場、高新生產技術、先進經營管理方法等信息提供快速、及時的手段。網絡上主要運行有：辦公自動化（OA）、檔案、醫保、計量、運銷、財物、視頻監控、ERP等應用系統。近幾年隨著宣鋼信息化建設的不斷發展，網絡用戶、應用系統不斷增加，計算機局域網安全在企業中顯得越來越重要了。

2、 宣鋼計算機局域網安全現狀

2.1物理安全

保證企業局域網內各種設備的物理安全是整個網絡安全的前提，物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

2.2網絡結構安全

網絡結構的安全是整個網絡安全的基礎。在整個網絡結構的安全方面，主要考慮網絡結構、系統和路由的優化。網絡結構的建立要考慮環境、設備配置與應用情況、網絡維護管理、網絡應用與業務定位等因素。

2.3病毒的入侵

目前開放的網絡病毒具有感染速度快、擴散面廣、難于徹底清除、破壞性大特點，它通過共享文件夾、系統漏洞、管理員弱口令、移動設備、垃圾郵件，MSN等方式進行傳播。它們的快速傳播導致局域網計算機相互感染，直接影響網絡的工作，不但降低網絡速度，影響工作效率，而且破壞文件系統和網絡資源，甚至造成計算機和網絡系統的癱瘓。

2.4數據備份系統安全

隨著辦公自動化（OA）、醫保、檔案、ERP等系統的深入應用，系統內的服務器擔負著宣鋼企業的關鍵應用，存儲著重要的信息和數據。因此，建立可靠的網絡數據備份系統，保護關鍵應用的數據安全是網絡建設的重要任務,在發生人為、設備或自然災難的情況下,保證數據不丟失。

2.5網絡管理安全

網絡管理是網絡安全中最重要的部分，責權不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險，因些加強網絡管理、建立健全安全管理是不可缺少的一項。

3、宣鋼計算機局域網安全防范策略

3.1物理安全策略

宣鋼東、西區通訊中心、公司大樓三個網絡核心機房環境、電源及防雷接均滿足《建筑與建筑群綜合布線系統工程設計規范》的要求。在地板均采用防靜電活動地板，保證所有網絡設備的導線電纜的連接、管道的連接及檢修更換都很方便?？照{系統采用愛默生機房專業空調，保證了機房設備能夠連續、穩定、可靠的運行。機房供電設備采用艾默生網絡UPS不間斷電源供電，維護人員可以利用WEB瀏覽器，通過SNMP卡內置WEB服務器，可實時監測到UPS狀態、運行參數和歷史告警，保證了機房的供電系統的穩定。

3.2網絡結構安全策略

在網絡結構上，主干網絡采用冗余的環形拓撲結構，使主干鏈路實現更高的安全性和可用性。Cisco6509作為核心交換機，同時加裝了冗余引擎板，當發生故障時，可迅速切換，保證了整個網絡的連續運行。接入層交換機與核心交換機采用光纖冗余捆綁連接的方式，線路得到冗余。

在出口防火墻pix525和計費網關之間增加流量管理設備ALLOT AC-802，在東區cisco6509上部署網絡分析儀FLUKE，監控東區到總公司，東區到西區的主干鏈路流量。同時在網絡中部署了流量管理系統、防火墻系統、以及IP地址反查追蹤技術等系統和技術手段，對外網的攻擊和內網的不良行為，進行過濾和實時統計，從技術上嚴格把關，保證網絡安全。

3.3病毒防范策略

在局域網內架設企業網絡版的Rising殺毒軟件、內網補丁服務器，使得局域網內所有計算機通過安裝殺毒軟件、定期更新病毒庫和及時打補丁等方法對電腦病毒進行全面防治，減少病毒、木馬的襲擊。同時布署Solarwinds進行相關端口流量等基礎數據的分析，及時定位使得病毒發生時，可以快速的定位故障機器，停止故障機器病毒的影響，從而減少病毒對網絡的沖擊。

3.4數據備份系統安全策略

在局域網中，數據備份應用系統的關鍵服務器從硬件上采用雙機熱備份技術，由兩臺服務器系統和與外接共享磁盤陣列柜及相應的雙機熱備份軟件組成。數據存放在外接共享磁盤陣列中，在一臺服務器出現故障時，備機主動替代主機工作，保證網絡中服務的不間斷。普通服務器數據備份在硬件上采用網絡存儲、磁盤陣列或磁帶庫等設備，通過SQL Server、Symatec back Exec等專業備份軟件，根據不同需求設定備份控制策略，自動地將服務器中數據通過網絡備份到網絡存儲、磁盤陣列或磁帶庫中，從而保證了網絡中數據的可靠性、完整性和安全性。

3.5網絡管理安全策略

3.5.1加強領導和職工的安全能力和意識的培訓

在網絡安全中，人是網絡安全中最薄弱的環節，為提高領導和職工網絡安全能力和意識，宣鋼網絡管理部門注重對領導和職工的網絡安全知識的培訓工作，定期組織對領導和職工進行網絡安全知識的培訓，通過培訓，提高領導和職工的網絡安全意識和安全防范能力，減少人為因素對網絡安全的影響。

3.5.2制定相關的規程和管理制度

制訂了《宣鋼網絡管理辦法》、《宣鋼網絡用戶管理辦法》、《宣鋼計算機網絡與信息系統安全和保密管理辦法》等制度對網絡系統進行規范管理，并且有針對性的采取措施，按照誰主管、誰負責和預防為主、綜合治理、人員防范與技術防范相結合的原則，保證網絡系統的安全、可靠、有效運行。

公司網絡安全管理辦法范文2

【關鍵詞】 IP化網絡文本 文本分類 文本聚類 組織框架

一、引言

隨著移動運營商網絡IP化改造日益深入，運營商內部積累了大量跟IP化網絡相關的文本，而如果移動IP化網絡文本無法快速、準確地進行分類，將會直接造成網絡維護工作無章可循，進而影響到網絡的安全性?，F有處理移動IP化網絡文本的方法一般是采用人工分類歸檔的方式，這種手工的方法有很多不盡如人意的地方，因此，迫切需要人們研究出相關工具以對大規模的文本信息進行有效的過濾并進行自動分類組織。

本文在基于文本分類[1] [3]、聚類算法的基礎上實現了一種建立移動IP化網絡文本組織框架的方法，提出了一套完備且可完善的文本組織框架：采用人工聚類與機器聚類相結合的方式得到了一套科學合理的文本組織方法；采用重復分類訓練學習過程及定期重復框架聚類過程的方式實現了該套文本組織框架的動態完善；將移動IP化網絡文本進行系統化管理，網管人員可隨時根據需要從文本庫中搜索和查詢所需要的文本，獲取相關知識。對文本分類聚類模型進行測試，結果顯示，多聚類算法得出的第二文本框架與專家分類框架具有很大區分特征[8-11]，文本分類的正確率達到了70%以上，基于內容的索引搜索效率很高，提高了文本管理人員查找文本的效率。系統的部署與應用，改變了中國移動在開展IP化過程中缺乏智能化分析系統的現狀，提高了網絡維護的針對性、主動性和前瞻性。

二、文本分類聚類技術模型設計

2.1 現有文本處理方式存在的問題

現有處理移動IP化網絡文本的方法一般是采用人工分類歸檔的方式，網管人員通過查看一定數量的移動IP化網絡文本的全部內容、摘要或關鍵字根據個人的工作經驗、理解預先建立移動IP化網絡文本組織框架，然后根據建立的移動IP化網絡文本組織框架以及新的移動IP化網絡文本中包含的相關內容，對該新文本進行手工分類歸檔，并通過不定期的檢查和整理的方式維護分類歸檔的移動IP化網絡文本。當需要查詢IP化網絡相關文本時，輸入相關搜索特征詞，系統從移動IP化網絡文本組織框架的相應分類中查詢特征詞對應的文本，并輸出給查詢人員。

有上述可見，現有移動IP化網絡文本（以下簡稱為文本）處理方式存在以下缺點：（1）文本組織框架缺乏科學性及一致性?，F有的文本處理方式屬于粗放式的文檔管理方式，文本組織框架以及文檔的整理分類完全取決于網管人員的專業知識水平、業務能力及工作態度，分類的方式受個人主觀因素影響較大，不同的人有不同的看法，在這樣的方式下，很難保證各個網管人員構建的文本組織框架采用統一客觀的分類標準，缺乏科學合理性。（2）效率較低，準確率不能保證。人工歸檔的方式需要消耗較多的時間，尤其在文本數量較大的情況下，不能實現較高的處理效率；并且這種人工歸檔的分類方式還會受到一些個人因素的影響，如專業知識水平、人為判斷的失誤等的影響，使得分類準確率不高[2]。（3）不利于網管人員的檢索、利用現有文本知識。采用現有的處理方式處理移動IP化網絡文本，即網管人員按照自身已經建立的文本組織框架以及閱讀文本后的理解來對文本分類，使得不同專業人員的分類方式存在偏差。由于未能采用統一客觀的分類標準，從而使得相應的網管人員對該文本的搜索、查詢與利用變得十分困難，致使文本知識的利用率低下，而且，檢索得到的文本出現重復，也增加了檢索所需的時間，浪費了系統資源。

2.2 文本分類聚類模型的設計思路

該模型的主要理論基礎是文件聚類和文本分類算法，前者的基礎是先把文本進行分詞[4]和向量化表示[5] [6]，即預處理過程，之后根據一定的聚類算法把具有相似性質的文本歸為一類，以此為基礎可形成文本組織框架；分類的過程則是在已有文本框架的基礎上進行數據的訓練過程，形成一定的分類器模型，當有新文本進來時可以自動根據文本內容進行文本分類。具體過程如圖1所示。

為了改變目前IP化網絡文本管理過程中的不足，本文在對文本挖掘進行較為廣泛的探索與研究的基礎上，結合人工分類及基于統計方法的文本聚類與文本分類方法，設計了一種面向IP化網絡文本挖掘算法模型。該模型充分利用了IP化網絡中專業術語較多的特點，通過總結歸納這些術語，形成分詞庫，抽取文本的特征詞[8-11]，計算文本特征向量[8-11]，實現文本聚類及文本分類算法的應用。

2.3 文本分類聚類模型

對文本數據的建模和處理思路如圖2所示。

（1）模型數據源

IP承載網建設與維護相關OA文、維護管理辦法、建設文檔等。核心網VOIP改造相關OA文、維護管理辦法、建設文檔等。

（2）模型大致流程

首先為保證所形成的文本組織框架的質量，需要選擇精度高、適應性強的聚類算法作為聚類工具，在流程的開始階段需要進行小樣本的數據實驗，對K-means[7]、模糊C、蟻群以及層次聚類算法所形成的文本框架進行比較，并結合人工分類框架進行評估，最后選出蟻群算法這種最適合IP化網絡安全文本的聚類算法作為后續流程的主要聚類算法。

在選出最優的聚類算法之后開始使用該算法對全部的文本集進行聚類，形成初步的文本組織框架；該框架作為分類的先驗知識進行分類的訓練形成分類器，訓練方法有很多，本文采用了支撐向量機（SVM [6]）和KNN[7]兩種方法進行訓練，通過比較發現前者較優。

分類器形成之后，當有新的文本進來時，分類器會自動根據文本內容對其進行分類，并將文本歸入相應的文件夾下。每周一段時間可以結合專家知識對誤判率進行計算和評估，如果誤判率高于臨界值，就說明原來的文本框架已經不再適用于新的文本集，需要對現有的全部文本集進行重新聚類形成新的文本分類框架，這樣就實現了文本組織框架的更新和完善過程?；谒纬傻奈谋究蚣埽W絡安全維護人員可以進行方便快捷的檢索和學習。

（3）模型預期效果

①可優選一種與人工分類結果較為接近的文本聚類算法，可實現大數據量文本的準確聚類；②可對新增文本進行較為準確的分類，減輕網管人員進行文本管理的壓力；③可實現對文本的多為搜索，幫忙網管人員更為精確地找到所需要的文本。

三、文本分類聚類技術模型的實現

3.1 文本分類聚類技術模型實現概述

所述的數據輸入模塊用于采集IP化網絡安全文本數據；所述的數據分析模型用于接收數據輸入模塊傳遞來的數據，并且對接收到的數據進行挖掘分析，形成四個數據分析子模塊；所述的分析結果輸出模塊用于把數據分析模塊分析的結果結合輸出要求呈現給輸出端；在模型中，所述的移動IP化網絡文本數據包括設備指標文本、IP承載網文本、交換設備文本、全網業務文本及安全管理與網管支撐文本；所述的數據分析模塊中的四個數據分析子模塊分別是：專家處理子模塊、多聚類算法子模塊、文本分類及文本框架完善子模塊和文本組織框架合成模塊。具體如圖3所示。

本文同時提供上述文本數據分析模型的實現方法，具體步驟如圖4所示。

下面結合實例給予說明：

1.數據輸入步驟：通過數據輸入模塊導入IP化網絡文本數據，IP化網絡文本數據包括集團公司、省公司、地市公司的很多發文、管理辦法和不同地方網絡維護案例文本及不同部門交流文本數據。

2. 數據分析步驟：

A.專家處理子模塊步驟：本文的方法以IP化網絡文本數據為基礎，先通過專家處理子模塊讓專家對現有小樣本的文本數據進行整理，得出IP化網絡文本數據的分類框架。比如框架第一層氛圍分為指標類材料、IP承載網類材料、交換設備類材料、全網業務材料、安全管理與網管支撐材料五大類，每一大類都又分為不同子類。如表1所示。

B.多聚類算法處理子模塊：通過聚類算法子模塊采用不同的聚類算法對小樣本的IP化網絡文本數據進行分析，得出不同的分類結果；比如通過k-means聚類算法、模糊c均值聚類算法、蟻群聚類算法、層次聚類算法等不同聚類方法進行聚類計算，并輸出聚類結果。通過對小數據樣本聚類得出的結果作為評價來選出適合IP化網絡文本的聚類算法，當遇到大的數據樣本時，應用已經選出的聚類算法進行挖掘。比如小樣本中蟻群聚類算法結果最為貼近專家分類結果，后面的聚類方法就都采用蟻群聚類算法來進行挖掘。

C.文本組織框架合成模塊：把聚類算法子模塊輸出的分類結果和專家分類結果比對，采用專家分類結果作為文本數據分類的框架，將小樣本的專家分類結果作為指導，將和專家分類結果最相近的聚類算法的聚類結果填入專家分類結果中，實現全部文本數據的合理分類。

D.文本分類及文本框架完善子模塊：新的文本進來，文本分類及文本框架完善模塊會依據現有合理的文本組織通過文本分類算法對新進入的文本進行分類，專家判斷錯誤率到達了多少，如果錯誤率高于閾值，就會記錄為誤判，把所有的數據用在階段最優的算法重新進行聚類計算，然后通過文本組織框架合成模塊合成新的文本組織框架；具體的邏輯框架圖如圖5所示。

3.分析結果輸出步驟：在數據分析結果輸出模塊，用戶可以根據自己的需求通過樹形框架結構找到自己想要的文本，也可以通過關鍵詞搜索，得到最相關的搜索結果。大大提高對公司現有文本資源的利用效率。

3.2 文本分類聚類技術模型的具體實現

本模型是一種建立移動IP化網絡文本組織框架的方法。該方法根據預先設定的樣本量建立第一文本組織框架，應用多聚類算法對所述預先設定的樣本量進行聚類，選定與所述建立的第一文本組織框架最為相似的聚類算法建立的第二文本組織框架，根據所述第一文本組織框架和所述第二文本組織框架建立文本組織框架。本模型在實現過程中具體流程如圖6所示。

步驟1：根據預先設定的樣本量建立第一文本組織框架。本步驟中，預先設定的樣本量為一定數量的IP化網絡文本，本實驗中，預先設定的樣本量為小樣本量，IP化網絡領域內的專業技術人員根據已有的專業技術框架、自身的工作過程中積累的經驗及對文本的理解來實現IP化網絡文本組織框架的制定，比如，根據各文本的文本特征向量[8-11]，建立五大類的IP化網絡文本組織框架，即文本組織框架包括：指標類材料、IP承載網類材料、交換設備類材料、全網業務材料及安全管理與網管支撐材料，并計算每類對應的分類文本特征向量[8-11]。當然，實際應用中，也可以根據實際的需要，按照文本特征向量[8-11]構造其他類型的IP化網絡文本組織框架，比如，將IP化網絡文本按照集團公司、省公司、地市公司的發文、管理辦法、不同地方網絡維護案例文本及不同部門交流文本數據進行劃分，構造相應類別的IP化網絡文本組織框架。

在模型實現過程中，對于IP化網絡文本組織框架下的每個大類，又可以分為不同的子類并設置每個子類對應的子分類文本特征向量[8-11]，比如，將IP化承載網類材料分為五大子類，分別為：設備建設方案、日常維護管理辦法、安全評估與巡檢、省際IP承載網相關文件、網絡改造與調整；交換設備類材料分為工程建設方案及管理辦法、專項提升活動等子類；全網業務材料分為網絡運行維護實施、應急處理與重大故障等子類；安全管理與網管支撐材料分為賬號與口令安全管理辦法、其他安全管理辦法及文件等子類。請參見表2所示的IP化網絡文本組織框架示例。

本步驟中，由于專業技術人員具有良好的專業技術水平及豐富的經驗，對文本的理解較為全面、準確，使得對文本進行分類的準確性高，描述各個分類的文本特征向量[8-11]恰當、準確性高。從而使得建立的文本組織框架科學性強、可信度高，可作為優選聚類算法的主要依據；同時，由于預先設定的樣本數量不會太多，分類、歸檔所需的時間較少，屬于在人工可處理的范圍內。

步驟2：應用多聚類算法對預先設定的樣本量進行聚類，選定與所述建立的第一文本組織框架最為相似的聚類算法作為優選聚類算法。

該優選聚類算法將在第一文本組織框架已無法進行準確分類的情況下，啟動計算，得出第二文本組織框架，用于文本分類。

本步驟中，多聚類算法（文本挖掘算法）包括：k-means[7]聚類算法（k-means Clustering Algorithm）、模糊c均值聚類算法（Fuzzy C-means Clustering Algorithm）、蟻群聚類算法（Ant Colony Optimization Algorithm）、層次聚類算法（Hierarchical Clustering Algorithm）等。各算法及對文本的聚類流程屬于現有技術，其詳細描述請參見相關技術文獻，在此不再累贅。

實際應用中，由于不同的聚類算法對相同數量的樣本進行聚類時，其聚類結果可能存在較大的差別，且各聚類算法的聚類結果真實可靠性也無從評估，因而，采用不同的聚類算法將對聚類結果產生實質性的影響。本示例中，通過選用不同的聚類算法對預先設定的相同數量的樣本進行聚類，對聚類結果（文本組織框架）與第一步中建立的IP化網絡文本組織框架進行比較，選取與人工分類結果的相近程度最好的聚類算法結果對應的聚類算法，作為優選聚類算法。

步驟3：以第一為文本組織框架作為文本分類依據。本步驟中，在得到第一文本組織框架及優選的聚類算法的基礎。

步驟4：根據所述文本組織框架，對新文本進行分類。本步驟中，導入IP化網絡文本數據后，按照每個樣本包含的內容，抽取文本中的關鍵詞，構造各文本的文本特征向量[8-11]，以文本組織框架為依據，將新文本的文本特征值與文本組織框架中各類包含的文本特征值進行匹配，將該新文本分類至文本組織框架中相應的類別中。

被分類的樣本經過預處理，抽取文本中的特征詞[8-11]，獲取各文本的文本特征向量，與文本組織框架中各子類包含的文本特征向量進行匹配，將各文本分類到文本組織框架中相應的子類；于此同時，抽取新增的部分文本進行人工分類，比較人工分類與自動分類的誤差，當誤差超過閾值時，啟動已選出的優選聚類算法建立的第二文本組織將文本分類，比如，上述示例第二步中，假設蟻群聚類算法對預先設定的樣本的算法結果（第二文本組織框架）最為貼近建立的第一文本框架。當誤差超過閾值時，重新啟動蟻群聚類算法計算第二文本組織框架。

本模型實現過程中，還可以利用文本分類結果，對所建立的文本組織框架進行調整，參見步驟5。

步驟5：從新的文本中，選取一定數量的文本，根據第一文本組織框架進行人工分類；本步驟中，選取的這一定數量的文本，在步驟4中已進行了自動分類，將自動分類結果與人工分類結果進行比較。

步驟6：將自動分類結果與人工分類結果進行比較，如果自動分類結果誤差大于預先設定的閾值，啟動優選聚類算法，計算新文本組織框架，作為第二文本組織框架，代替第一文本組織框架。本步驟中，預先設定的閾值可以是自動分類結果與人工分類結果中包含的相異的文本個數與人工分類結果包含的文本個數之比。如果沒有超出該閾值，表明當前建立的文本組織框架運行良好，可靠性高；如果超出該閾值，需要按照人工分類結果調整文本組織框架中各大類相應子類對應的文本特征向量[8-11]，或者重新應用前述優選的聚類算法對所有文本（新舊文本）進行聚類，得到新的文本組織框架，用該新的文本組織框架代替原有的文本組織框架，當自動分類結果誤差大于預先設定的閾值時，重新啟動優選的聚類算法進行聚類得到新的文本組織框架。

實際應用中，上述對所建立的文本組織框架進行調整，主要是在利用第一文本組織框架對新文本分類時，由于建立的第一文本組織框架是基于有限的樣本量，因而，在大樣本量的情況下，可能存在一定的分類誤差，而且隨著樣本量的不斷增大，其誤差可能也越來越大，因而，通過人工評估，當誤差超出預先設定的閾值時，可以用前述的優選文本聚類算法結合人工評估結果重新生成文本組織框架，以替換該第一文本組織框架。

當然，在建立文本組織框架后，網管人員就可以利用該文本組織框架進行搜索和查詢，獲取所需的文本，例如，網管人員可以輸入搜索特征詞，文本組織框架查詢關鍵詞對應的文本特征值[8-11]，將該文本特征值所屬的搜索結果（文本概述等信息以及文本所屬的大類及子類）輸出給網管人員，這樣，與傳統的關鍵詞的搜索方式不同，由于可根據文本特征值進行搜索，搜索情況更接近文本的內容，每個文本可供搜索的內容更多，使用文本搜索更貼近文本內容。

四、測試與分析

通過模塊層次圖和數據流圖的進一步設計，基于VC編程環境，本研究將設計的模型進一步在機器上實現，開發出IP化文本分類組織框架和基于文本內容的搜索。測試結果表明多聚類算法得出的第二文本組織框架與專家分類框架具有很大區分特征[8-11]，文本分類的正確率達到了70%以上，基于內容的索引搜索效率很高，提高了文本管理人員查找文本的效率。

4.1 測試系統

對于中國運營商來說，3G的日益臨近，網絡IP化成為一種不可逆轉的趨勢。通過對現有網絡進行IP化的改造來實現多網融合最終完成3G網絡的建設已經成為國內外各大運營商的共識，IP化網絡在核心網的比重越來越大。目前，對計算機IP網絡的評估已經有一些研究成果及應用系統。但是，針對運營商中IP化網絡具體特點，建立科學、可行的安全評估模型但成了擺在中國運營商面前的一個重要的問題，同時也是在地市公司在從事具體維護工作中不得不去思考的一個問題。

目前，對于IP網絡的評估方法一般需要一些先驗知識，如威脅出現的概率、無形資產賦值等，而準備獲得這些數據是存在困難的，為此，已有的模糊、神經網絡等方法建立的安全估計模型只能對于局部系統進行評價，且多局限的理論的說明，未能有一些全面的，可行的安全評估模型及可投入使用的評估系統的產生。因此，本產品希望從移動運營商IP化網絡的運營實際出發，從技術、管理、安全意識等更加宏觀的層面來審視安全評估問題，并依托省網管已經建立的“網絡運營支撐平臺”，建立基于粗糙集的IP化網絡安全評估系統。

對于地市公司公司來說，隨著公司網絡集中化建設的進行，地市公司對IP網絡的維護權限多停留在設備的維護方面，維護行為也多以被動實施為主，往往缺乏對自身網絡安全性的科學及客觀的把握。為此，該系統所采用的模型也從地市公司IP化網絡的具體建設及維護實踐出發，采用粗糙集的理論來建立網絡的安全模型、采用粗糙集理論來分析網絡各項安全因素的輕重關系，輸出決策規則，建立IP網絡下客戶感知及網絡質量的共同提升模型，從而建立起一套科學完善的IP網絡評估算法，從而為地市公司從事IP化網絡的建設和維護提供指導，變被動為主動，全面提升IP化網絡建設與維護的有效性。

本文設計的文本挖掘模塊作為該系統中重要的一個組成部分，對于IP化安全文的深入挖掘，實現IP化網絡的安全保障起著重要的作用。對于粗糙集實現網絡安全評估方面因為不是論文的主要內容。因此不作主要描述。本文重點描述了一種面向IP化網絡文本挖掘模型在系統中的具體實現。

文本模塊從文本導入、文本框架導入、聚類方法選擇、文本聚類、文本分類、文本搜索和瀏覽等方面把模型中的主要功能分別在不同模塊中實施。其中聚類方法選擇模塊中集成了K-means聚類算法、模糊C聚類算法、分層聚類算法和蟻群聚類算法，是模塊中的核心部分。系統的模塊層次如圖7所示。

在系統的模型層次圖的基礎上，進一步設計研究了系統的數據流圖，從數據輸入層、數據預處理層、核心算法層、用戶使用層等層面圍繞文本組織框架為核心全面鋪開。找出系統輸入、處理、輸出過程中的關鍵數據存儲和邏輯處理，理清了內部邏輯的相互關系。系統的數據流圖如圖8所示。

4.2 系統相關模塊的功能說明

在系統實現過程中，主要實現了如下幾個模塊：IP化網絡安全文本數據導入模塊、第一文本組織框架處理模塊、多聚類算法模塊、聚類結果匹配模塊、以及文本組織框架生成模塊，各模型具體功能如下：（1） IP化網絡安全文本數據導入模塊：用于導入IP化網絡安全文本數據，分別輸出至第一文本組織框架處理模塊和多聚類算法模塊；（2） 第一文本組織框架處理模塊：用于對接收的文本進行分類整理，建立第一移動IP化網絡文本組織框架，并將建立的第一移動IP化網絡文本組織框架信息分別輸出至聚類結果匹配模塊及文本組織框架生成模塊；（3）多聚類算法模塊：用于根據預先設置的多聚類算法對接收的文本進行聚類，向聚類結果匹配模塊輸出聚類結果；（4） 聚類結果匹配模塊：用于根據接收的第一移動IP化網絡文本組織框架信息匹配來自多聚類算法模塊的聚類結果，將與第一文本組織框架最為相似的聚類算法的聚類結果信息輸出至文本組織框架生成模塊；（5） 文本組織框架生成模塊：用于根據接收的第一移動IP化網絡文本組織框架信息以及聚類結果信息建立文本組織框架。

IP化網絡安全文本數據導入模塊、第一文本組織框架處理模塊、多聚類算法模塊、聚類結果匹配模塊、以及文本組織框架生成模塊等5模塊具體邏輯關系如圖9所示。

在實現過程中，該模塊可以進一步包括如下可擴展模塊：（1）文本分類模塊，用于依據文本組織框架生成模塊中存儲的文本組織框架信息，對來自IP化網絡文本數據導入模塊的文本進行自動分類。（2）文本組織框架調整模塊，用于接收來自文本分類模塊的自動分類結果、以及來自第一文本組織框架處理模塊對同批量文本的人工分類結果并進行比較，如果自動分類結果誤差大于預先設定的閾值，按照人工分類結果調整文本組織框架生成模塊存儲的文本組織框架信息。（3）搜索和查詢模塊，用于接收來自外部的搜索關鍵詞，發送至文本組織框架生成模塊，將文本組織框架生成模塊根據存儲的文本組織框架信息查詢得到的關鍵詞對應的文本信息進行輸出。

系統中各模塊相互協同共同完成模型所要求的功能，流程如下：（1）IP化網絡文本數據導入模塊、第一文本組織框架處理模塊、多聚類算法模塊、聚類結果匹配模塊、以及文本組織框架生成模塊，其中，IP化網絡文本數據導入模塊，用于導入IP化網絡文本數據，分別輸出至第一文本組織框架處理模塊和多聚類算法模塊；（2）第一文本組織框架處理模塊，主要有領域專家來完成，領域專家通過人工的方式來獲取接收的文本信息中包含的關鍵詞，根據關鍵詞構造各文本的文本特征向量[8-11]，利用文本特征向量對所述預先設定的樣本量的IP化網絡文本進行分類整理，建立第一IP化網絡文本組織框架，并將建立的第一IP化網絡文本組織框架信息分別輸出至聚類結果匹配模塊及文本組織框架生成模塊；（3）多聚類算法處理模塊，用于根據預先設置的多聚類算法對接收的文本進行聚類，向聚類結果匹配模塊輸出聚類結果；聚類結果匹配模塊，用于根據接收的第一IP化網絡文本組織框架信息匹配來自多聚類算法模塊的聚類結果，將與第一文本組織框架最為相似的聚類算法的聚類結果信息輸出至文本組織框架生成模塊；（4）文本組織框架生成模塊，用于根據接收的第一IP化網絡文本組織框架信息以及聚類結果信息建立文本組織框架。

4.3 系統相關模塊的功能說明

通過移動公司的IP化網絡文本測試了本研究設計的功能模塊，測試結果顯示文本框架與專家分類框架具有很大區分特征，文本分類的正確率達到70%以上，基于內容的索引搜索效率很高，提高了文本管理人員查找文本的效率。

4.3.1 文本聚類測試結果分析

該部分通過文本聚類實現文本框架的形成。系統提供四種聚類方法的實現：K-means[7]、模糊C聚類、層次聚類、蟻群聚類算法；每種聚類之后，都將在下方的顯示框中展示聚類的結果，也即文本組織框架。之后通過比較不同聚類的聚類結果，選出最優的聚類算法。

K-means[7]聚類算法可以調整三個參數：聚類數目、最大迭代次數、文檔向量維數?，F有文本專家聚類分為3類：IP承載網、全網業務、安全管理與網管支撐。

模糊C均值聚類算法可以調整五個參數：聚類數目、誤差限、參數m、最大迭代次數、文檔向量維數。其中參數m的調整范圍為1.5～2.5。如圖10所示。

其中K-means[7]聚類算法將文本通過迭代1000次，采用100個特征詞提取出文檔向量，分出第一類的文本數量為67，第二類的文本數量為2，第三類文本數量為1。如圖11所示。

4.3.2 文本分類測試結果分析

該部分暫時無需選擇路徑，僅采用樣本數據實現，因為專家分類文檔沒有經過聚類算法，提取不出特征值，無法作為分類；此環節耗時較長，可能需2-3分鐘，各機器性能不一可能略有差別。

本部分工作的基礎是使用上一步驟選取最優的聚類算法對所有文本進行聚類形成合理的文本組織框架并訓練形成分類器。分類器形成后，就可以對新進入的文本進行分類，一般分類正確率在70%以上。

圖12展示了對實驗數據進行分類的結果，對34個文本進行分類，分類正確率達到80%。證明該文本框架所形成的分類器具有較好的分類能力。圖中標紅的文本本分到了錯誤的類別中了，其余是被正確分類的文本；分完后可以查看通過上面的選擇查看單個文本分類情況，如圖13。

4.3.3 文本搜索測試結果分析

本部分是基于前述文本組織框架的文本搜索模塊，目前系統可供使用的檢索詞包括發文單位（集團、省公司、使公司）、文本類別（通知、申請、報告、自查報告、緊急通知等）、文件名（輸入要找的關鍵詞，系統將使用該關鍵詞在所有文本的文件名中進行檢索）、發文時間等。系統正在實現的功能是基于特征詞的檢索，在文本分詞階段每一個文本都被分成若干特征詞所表示的向量，輸入特征詞就可以實現基于內容的檢索，大大提高了檢索的效率和準確度。

其中基于內容的特征詞的搜索是一個創新，通過文本訓練，提取出所有搜索范圍內的文本的特征詞，通過特征詞的頻率來確定不同文本的區別，如100維特征詞的訓練結果就將不同文本通過挑選出來的100個文本特征詞的頻率來表示，實現文本的向量化，如果某一特征詞在文本中沒有出現，則向量這個點上的取值為0。訓練后的文本集就形成了一張二維表，一個維度是文本，一個維度是特征詞，這個二維表是基于文本內容訓練出來的，通過此二維表的特征詞來搜索文本比其他幾個維度效率更好，效果更好。

如圖14所示，搜索范圍選擇IP化安全管理系統文件夾中的clusters文件夾（因為要基于特征詞搜索需要有能提供特征詞的文件夾）。

查詢得到的文本可直接在檢索結果欄中打開閱讀。如圖15所示。

公司網絡安全管理辦法范文3

一、信息安全應用研究――以未來項目“工業4.0”為例

信息通信技術滲透至生活和工作的每個領域。數字世界和現實世界的界限日益模糊，同時網絡犯罪和網絡間諜越來越專業化，傳統的預防方式已不足以應對新情況，網絡安全挑戰越發嚴峻。特別是斯諾登事件爆發后，網絡安全問題引起全球關注。

能否擁有可靠、安全的信息通信技術對德國經濟至關重要。德國高技術戰略的未來項目“工業4.0”（即“第四次工業革命”項目）具有典型意義。在“工業4.0”中，以往的界限都將消失，生產性信息技術、銷售物流、零部件產業、商業信息技術等領域都將聯系到一起。因此，信息技術系統將遇到許多新的挑戰，病毒將可能攻擊生產設備，不夠安全的機器有可能被遠程操控，給現實世界帶來巨大損失。

在“工業4.0”中，設備和產品都將納入智能的物聯網中。這一網絡范圍越大、越具活力，就越有必要使每個系統（從每個組件到每個產品）都相互區別，明確確定其信息，并保證安全的相互交流。隨著網絡成為最重要的交流媒介，云計算成為中央系統，服務和人都需要更加安全可靠的身份證明。不僅必須保證交流的安全可靠，而且要在網絡攻擊情況下保持系統的長效安全可靠。對于德國高科技工業，特別是機械設備制造業的中小企業，采取有力措施應對經濟間諜行為對它們的存亡至關重要。面對非法攻擊，云端數據也應得到強有力的安全保障。

“工業4.0”中的所有要素，包括人、機器、生產設備、應用程序、產品和服務都會不斷產生數據。只有保證數據的實時整合和高效分析才能優化資源和生產鏈。大數據給企業信息保護和個人隱私保護帶來了無法回避的問題，同時也帶來了機遇。

“工業4.0”中的工人是靈活的、全球性的和自主的，信息通信技術對于工人也應該靈活多樣、更易于使用。這一要求給科研帶來了挑戰，包括移動網絡的通信安全和更加安全的運營方案，例如在生產、維護、運營、物流等領域，移動終端設備如何在移動商務過程中實現更加安全可靠的融合。

二、“網絡安全2020”研究議程

德國弗勞恩霍夫協會是歐洲最大的應用研究機構，在德國乃至歐洲信息安全研究中占據重要地位。它對德國國家網絡安全研究議程“網絡安全2020”提出了7項建議：

1.捍衛數字。

在信息安全這一核心領域，德國必須絕對獨立，必須找出靈活的、第三方檢測的安全解決方案，作為以信息通信技術為基礎的基礎設施的信任基石。不僅在信息通信技術這一關鍵領域，也要在跨領域的重大未來項目（如“工業4.0”和“互聯網經濟”）的服務中保證德國信息技術的獨立。

2.信息安全應用研究。

信息安全研究必須保證實用性。要建立和運行同企業保持緊密合作的應用實驗室，針對網絡犯罪和網絡間諜行為的系統解決方案的可行性進行實際研究和驗證。

3.通過設計保護安全。

要保證產品、服務和解決方案在全生命周期的安全性。也就是從最開始就要考慮到安全問題，要促進各個組成系統的融合并明顯提高安全性。

4.可由第三方檢測。

為獲得可信賴的安全，要支持研發新的技術方法，對組件、產品、服務和解決方案在全生命周期的安全性進行檢查，并使已達到的安全性具有可證性。

5.通過設計保護隱私。

要同時保護經濟、國家和個人隱私，應對網絡犯罪和網絡間諜行為，特別要考慮個人信息保護的重要意義，如客戶信息對于經濟發展的重要意義。必須通過適當辦法，按照“通過設計保護隱私”原則預防非法網絡入侵和信息濫用。

6.了解自身安全情況。

要高效及時地繪制自身安全形勢圖，使決策者能夠就安全情況作出可靠評估，并為負責任、可持續的行為創造前提。

7.人性化的信息安全。

信息安全機制及方法應該人性化，應該具有良好的可用性，使研發人員、信息安全專家和普通人都能完成與安全相關的任務。

三、德國網絡安全研究的機遇和需求

1.德國信息安全研究概況。

德國高校和研究機構對信息安全研究作出了杰出貢獻，德國企業開展信息安全工作以滿足顧客需求。國家自身支持信息安全研究，其重點是不安全環境中的安全研究、網絡基礎設施保護、嵌入式安全等。自2011年起，有3個信息安全能力研究中心先后成立。但是，德國明顯缺乏更加貼近實際的信息安全應用研究，科研發展也沒有持續跟上實際發展需求的腳步。在信息安全研究中，新興應用領域不斷產生，能源供應、交通、隱私保護等新興應用領域引起社會廣泛關注。在這些新興應用領域，對信息安全仍甚少涉及，甚至在自動化、移動系統和云計算領域也缺少貼近實際的解決方案。

2.德國信息安全研究需求――加強應用研究。

“信息安全，德國制造”將為德國科研和經濟帶來巨大機遇。德國迫切需要使基礎研究成果應用于實踐，這具有四項重要意義。一是將基礎研究成果轉化成市場歡迎的產品。這樣新興應用領域才能從這些貼近實際并經過檢驗的解決方案中直接受益，這樣信息安全將不再是障礙，而會在國際市場上為德國企業增彩。二是保護經濟和公民。沒有哪個生活領域可以脫離信息技術，許多新興應用領域與信息技術密切相關，重要的基礎設施、相互依賴的經濟系統都必須通過安全可靠的信息安全系統來保護。三是降低損失。如果企業對信息技術基礎設施保護不力，遭到網絡攻擊的風險就很大，這不僅會帶來直接經濟損失，還會導致難以估量的名譽損失。四是提升國際競爭力。德國在信息安全基礎研究方面享有很高聲望，在信息安全、自動化、數據保護、能源供應等領域處于領先地位。鑒于國際信息技術和安全市場不斷發展，未來競爭越發激烈，有必要不斷促進應用研究，為在國際市場保持領先地位創造必要條件，并在尚未完全發展起來的領域中搶占先機。

四、研發需求

為保持德國的技術和獨立，保持德國的創新地位，弗勞恩霍夫協會建議特別關注以下研究主題。

1.云安全。

云計算是信息技術資源的下一次革命，硬件和軟件向云端轉移將成為新的信息技術范式。借助云計算，企業能夠大幅降低成本。由于許多潛在用戶對云安全有所顧慮，導致拒絕使用云技術，云安全研究勢在必行。其研究重點應包括安全規則建模、用于安全規則建模和可信評測的衡量標準、云端環境的認證信息管理、云計算中心威脅評估模型、安全虛擬環境機制、隱私保護技術、信任與策略管理、固定設備和移動設備通過云設施的安全同步、高度敏感信息的云利用模式和方法、云端惡意軟件的識別和處理、云服務供應商審核控制機制等。

2.信息物理融合系統（CPS）。

信息物理融合系統是嵌入式系統，借助傳感器或制動器來評估和儲存信息，通過網絡連接和人機接口實現交流。信息物理融合系統用于數據和信號加工，已廣泛應用于航空航天、汽車制造、化工、能源、醫療衛生、生產及自動化、物流、終端服務等領域。隨著其性能的增強和聯網程度的提高，迫切需要新的技術和方法滿足它在安全和保護上的需求。其研究重點包括網絡化智能交互技術的安全、特殊密碼程序和安全技術、軟硬件結合的安全機制、受到攻擊時的緊急應對、安全等級標準檢測方法、分布式智能傳感機制等諸多問題。

3.數據保護和隱私管理。

個人信息非法交易問題日益凸顯，許多大公司，如銀行和通訊公司，都遭遇到了這樣的問題，這不僅損害公司形象，而且導致經濟損失。個人信息保護已成為科研與社會的核心話題。

4.能源生產和供應。

能源互聯網是極其重要的基礎設施，智能電網的發展要求必須注意新的風險。從電力生產者、儲存者、電網到終端用戶的相互聯系，再到管控，智能電網意味著各環節之間存在更多的交流，也會產生更多的未知風險。該領域的研究重點是實現智能電網的建立和保證智能電網的安全。

5.預警系統。

隨著網絡的發展，各種惡意軟件不斷出現，信息系統運營者已很難及時告知新的威脅并予以保護。使用信息預警系統及早應對網絡意外情況至關重要，在這方面還有很多問題有待解決，例如新興應用領域預警系統、僵尸網絡問題。

6.工業生產和自動化。

工業自動化技術是工業化國民經濟良好運行的支柱，信息安全是信息技術融入生產設備的基石。

7.信息技術取證。

網絡作案者會留下痕跡。信息技術取證的任務就是發現、確定并分析這些痕跡。主要研究任務包括：研發可針對各種媒體類型自動高效識別禁止內容的程序以及在刪除信息后從信息碎片中識別禁止內容的程序；對大數據快速分類以及在大數據中快速自動檢索圖片和視頻內容的辦法。

8.交通信息技術安全。

越來越多的汽車功能通過軟件實現。汽車聯網并且車聯網將逐漸對外開放，既會給汽車制造商、供應商和服務商帶來許多安全問題，又帶來了新市場和新機遇。

9.媒體安全。

數字化媒體涉及影片、音樂、有聲讀物和電子書，重點要進行版權保護和防操縱保護。

10.網絡安全。

網絡與日常生活密不可分，人們日益重視網絡安全問題。保證交流基礎設施的安全意味著保護網絡基礎設施技術，保護通訊服務的連通性、延伸性和可用性，研發可對攻擊和安全漏洞進行識別和分類的支持方法。

11.預防盜版。

對產品、設備和設計的盜版不僅會給企業帶來巨大的損失，也會給消費者帶來安全和質量隱患，在機械制造和電子技術方面尤其如此。因此急需考慮整個產品研發和產品生命周期內預防盜版的方法和工具。

12.物理嵌入式網絡安全。

物理嵌入式網絡安全是把物理世界和信息世界聯系起來保護兩者安全。它意味著免受非法攻擊，也意味著面對意外和系統違規操作時提供安全保護。其研究重點在于信息世界和物理世界以及兩者間節點的安全保護、信息世界和物理世界相互聯系的建立與協調。

13.安全工程學。

許多信息技術產品存在安全缺陷。從產品的設計和研發階段就開始考慮安全問題并將它延展至產品的整個生命周期，對于企業具有戰略性意義。

14.安全的移動系統。

智能手機、平板電腦等移動設備越來越受歡迎，逐漸成為網絡攻擊目標。如果沒有特定的保護措施，移動設備更容易受到攻擊，并且其影響范圍遠大于固定設備。

15.預防旁路攻擊和故障攻擊。

隨著越來越多的事物網絡化，旁路攻擊明顯增加。采取保護措施保證長期的密碼信息安全十分必要，這樣也可以有效處理潛在攻擊。

16.安全管理。

在信息技術應用領域，信息安全管理面臨巨大挑戰。在云環境、生產基礎設施以及由信息系統控制的重要基礎實施中急需一體化的安全管理解決方案。研究需求主要包括新興應用領域和新興技術領域的風險管理方法、一體化信息安全管理系統、跨組織安全管理辦法研究等。

17.可信系統。

公司網絡安全管理辦法范文4

一、網絡安全人才隊伍建設的重要性

（一）網絡安全人才是保障經濟安全的基礎

由于信息網絡技術的迅速普及， 經濟發展與信息技術的發展息息相關， 在生產、分配、消費的每一個環節中都伴隨著信息的獲取、加工、傳輸、儲存。世界各地的企業利用網絡來發現新市場，開拓新產業，在全球范圍內加速了商品和服務貿易，有力地促進了全球經濟發展。我國各行各業對信息網絡系統的依賴程度越來越高， 越來越多的公共服務、商業和經濟活動基礎設施與互聯網相連，這種高度依賴性將使經濟變得十分“脆弱”。一旦信息網絡系統受到攻擊， 不能正常運行或陷入癱瘓時， 就會使整個經濟運行陷入危機。而且網絡犯罪對各國經濟安全造成的危害難以估量，規模龐大的全球黑客產業鏈和地下經濟吞食著各國經濟利益。保障經濟安全需要加強安全管理，安全管理的關鍵是網絡安全人才的培養和儲備。

（二）我國網絡空間安全形勢非常嚴峻

根據國家互聯網應急中心的數據，中國遭受境外網絡攻擊的情況日趨嚴重，主要體現在兩個方面：一是網站被境外入侵篡改，二是網站被境外入侵并安插后門。2012年網站被植入后門等隱蔽性攻擊事件呈增長態勢，網站用戶信息成為黑客竊取重點。2012年，國家互聯網應急中心共監測發現我國境內52324個網站被植入后門，較2011年月均分別增長213.7%和93.1%。2013年前兩個月，境外6747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機，境外5324臺主機通過植入后門對中國境內11421個網站實施遠程控制，我國網絡銀行和工業控制系統安全受到的威脅顯著上升。發起網絡攻擊的既可能是國家，也可能是、網絡犯罪集團、商業機構、個體網民等“非國家行為體”，網絡安全威脅日益增加，需要大量的網絡信息安全人才應對威脅。

（三）全球已經進入網絡戰爭時代

網絡空間正在成為軍事戰略的重要資源，伴隨著世界軍事網絡的發展步伐，網絡技術的軍事運用呈現“井噴”之勢，“網軍”已經整裝待命。2009年，網絡安全公司麥克菲報告稱，全球已經進入網絡戰爭時代。在信息戰的大背景下，數千年沿襲下來的“短兵相接”戰爭局面將不再重要，網絡成為實現國家安全利益的重要利器，爆發網絡空間沖突的可能性在加大。2010年底，名為“震網”的蠕蟲病毒曾襲擊了伊朗核設施的電腦網絡，這被認為是美國開展網絡戰的重要實踐。2012年伊朗遭受名為“火焰”的網絡病毒襲擊后，以色列國防部長巴拉克高調宣布將“網絡戰”作為攻擊手段，以色列的證交所、銀行也曾多次遭遇來自阿拉伯國家的網絡襲擊。各國政府迫切需要受過專門訓練的人才，對抗網絡軍事入侵，并維護國家網絡安全。

二、我國互聯網安全人才隊伍建設存在的問題和原因

（一）問題

1、精通信息安全理論和核心技術的尖端人才缺乏

目前，我國網民數量超過5億，互聯網應用規模達到世界第二位，已成為互聯網大國。但整體上看，我國難以稱得上是互聯網強國，在互聯網產業的硬件、軟件、網絡模式等方面均處于劣勢，主流產品依賴國外進口，基礎信息骨干網絡70%—80%設備來自于思科，幾乎所有超級核心節點、國際交換節點、國際匯聚節點和互聯互通節點都由思科掌握。主流核心產品提供商中，外資企業或外資控制的企業占據主導地位，特別是第一代互聯網（IPv4）的13臺根服務器主要由美、日、英等國家管理，中國沒有自己的根服務器，網絡信息安全面臨著嚴重威脅。我國主導信息安全問題較為困難，互聯網信息安全防范能力，遠低于歐美等發達國家。主流產品對國外公司的依賴源于我國自主研發能力弱，缺乏掌握核心技術的高端互聯網產業人才。

2、互聯網信息安全人才供需不平衡

國際數據公司的報告顯示，到2013年，全球新增的IT工作職位將達到580萬個，僅在亞太地區就將新增280萬個崗位，其中安全方面的投入和人才需求占有較大的比例。2012年11月底，工信部中國電子信息產業發展研究院數據顯示，我國共培養信息安全專業人才約4萬多人，與各行業對信息安全人才的實際需求量之間存在50萬人的差距。與全球對信息安全人才的需求相比，我國面臨著巨大的缺口，網絡安全人才需求更為緊迫。高等院校中優秀的信息安全師資力量缺乏，高校對于信息安全教學人才非?？是螅@些現狀都反映社會需求與人才供給間還存在著巨大差距，人才問題已經成為當前制約信息安全產業發展的主要瓶頸。

3、信息安全人員綜合素質有待提高

任何一種安全產品所能提供的服務都是有限的，也是不全面的，要有效發揮操作系統、應用軟件和信息安全產品的安全功能，需要專業信息安全人員的參與，并發揮主要作用。但目前信息安全人員多數為其他崗位人員兼任，且非信息安全專業人才，通常是在進入崗位后根據職能要求，逐步熟悉、掌握信息安全技術知識，雖然具備了一定的信息安全技術與管理能力，但普遍存在安全知識零散、管理不成體系等先天性不足。在當今飛速發展的信息安全領域，非專職信息安全人員在忙于眾多事務管理的同時，難以持續關注、跟蹤最新的信息安全技術發展趨勢和國家、行業的政策、規范、標準等最新要求及實施情況，缺乏知識儲備和經驗積累，造成缺乏懂技術、會管理和熟悉業務的信息安全人才。

（二）原因

1、信息安全學科人才培養體系還不完善

我國已把信息安全人才培養作為信息安全保障體系的重要支撐部分，尤其把培養高等級人才、擴大碩士博士教學放在重要方面。教育部共批準全國70所高校設置了80個信息安全類本科專業。但是信息安全專業起步較晚，培養體系跟別的學科和行業還有差距，人才培養計劃、課程體系和教育體系還不完善，實驗條件落后，專業課程內容稍顯滯后，專業教師隊伍知識結構需不斷更新，信息安全人才缺少能力培養。急迫需要國家政策支持信息安全師資隊伍、專業院系、學科體系、重點實驗室建設。

2、網絡信息安全人才認證培訓不規范

我國對網絡安全人才的培養主要是通過學歷教育和認證培訓兩種方法，網絡安全技術人才的培訓和認證主要有IT行業的CISP認證、NCSE認證等，培養網絡安全員和網絡安全工程師。這對彌補基礎網絡安全人才不足，培養應用型人才較為實用，但IT行業培訓和認證常缺乏必要的計算機理論基礎和系統性知識，小批量、短期的培訓往往形不成規模，仍無法填補網絡安全人才的巨大缺口。

3、信息安全組織架構不健全

信息安全是在信息化進程中快速發展起來的，但在信息技術快速發展與信息安全知識快速更新的情況下，由于在政府部門、企事業單位中信息安全組織架構不健全，未能完成信息安全人才的培養與儲備。造成當前信息安全人才與實際信息安全工作技能要求的脫節，以及部分領域信息安全人才的缺失，信息安全保障工作難以落地。

4、信息安全人才缺乏激勵機制

信息安全保障工作的后臺性使信息安全管理人員的工作績效得不到完整的體現，在實際工作中甚至遇到其他業務管理人員的不理解或不配合，造成真正的人才反而評價不高。由于缺乏有效的激勵機制與人才評價機制，挫傷了人才的積極性。

三、網絡信息安全人才隊伍建設政策建議

（一）制定網絡空間安全人才規劃

國家制定《互聯網空間安全人才戰略規劃》，明確戰略目標和戰術目標，增強公眾網絡行為風險意識，擴大支持國家網絡安全人才儲備，開發和培養一支國際頂尖的網絡安全工作隊伍，建立一個安全的數字化中國；啟動《國家網絡空間安全教育計劃》，期望通過國家的整體布局和行動，在信息安全常識普及、正規學歷教育、職業化培訓和認證三方面開展系統化、規范化的強化工作，來全面提高我國信息安全能力；制定《網絡空間安全人才隊伍框架》，統一規范網絡空間安全人才專業范疇、職業路徑，及其崗位能力和資格認證等。

（二）健全網絡信息安全組織架構

網絡信息安全涉及網絡、主機、應用、數據等多方面，管理要素多、專業性強，組織開展信息安全保障工作需要建立一套完整的信息安全組織架構體系。在各級政府機關、企事業單位組織架構中應成立專職的信息安全主管部門，負責編制信息安全規劃，指導信息安全建設，制定信息安全總體策略，監督檢查信息安全管理與技術防護情況。各業務部門應配備兼職或專職信息安全員，負責本部門業務應用中的信息安全保障工作。同時還應根據不同崗位要求著力培養信息安全人才，特別是懂業務、經驗豐富的高端技術與管理人才。

（三）構建網絡安全治理體系

構建網絡安全治理體系是確保各項規范、標準和制度落地的重要保障。網絡安全治理體系包括安全管理體系和安全技術體系。安全管理體系明確各部門在網絡安全規劃、建設、運行維護和改進完善等階段的工作任務、要求和責任。安全技術體系根據網絡安全涉及的不同環節從網絡、主機、數據、應用等方面實施相應的安全技術措施。針對不同崗位要求選擇合適的人才，在確保合規性的基礎上，根據需求，引入外部力量提供專業化的安全技術支撐，彌補現有人才數量與結構的不足。

（四）推動產學研相結合培養網絡安全人才模式

以企業需求為導向，大力推動產學研相結合的培養模式。借助企業中的國家級和部級重點實驗室、國家級科研項目等科研平臺，使得優秀學生能夠隨時隨地直接參與各類科研項目；讓本科生和研究生進入實習實訓基地，為培養動手能力很強的一流信息安全人才提供良好條件；將教學任務融入到科研工作之中，以科研項目的形式來建設信息安全本科教育專業實驗室。在信息安全實踐過程中培養技術人才，培養學生具有較強的綜合業務素質、創新與實踐能力、法律意識、奉獻精神、社會適應能力，形成能夠滿足各方面需求的信息安全人才就業體系。

（五）形成完整網絡安全人才培育體系

要建立并完善以高等學歷教育為主，以中等職業教育、業余培訓、職業培訓和各種認證培訓為輔的網絡安全人才培養體系。加強信息安全學科的重要性是保障人才培養的第一步，應該把信息安全學科提升為一級學科。政府在認證培訓方面加強立法，立法內容應該涉及到認證培訓的教學體系和內容，培訓時間和考試管理辦法，還應該規定哪些崗位的人員必須持什么樣的證書，以及接受培訓人員的管理等。

（六）加大網絡安全人才培養項目投入

1、推動各種網絡安全人才計劃

從2010年開始，教育部就啟動了“卓越工程師教育培養計劃”，旨在造就一大批創新能力強、適應經濟社會發展需要的高質量各類型工程技術人才。應繼續加大在這方面人才計劃的投入力度和支持范圍。

2、擴大獎學金資助范圍

推動“信息安全保障獎學金計劃”，選拔優秀網絡安全人才納入資助培養計劃，資助信息安全專業的本科生與研究生，并在其畢業后安排至關鍵崗位工作。建立網絡安全“生態系統”概念，人才從娃娃抓起，網絡安全要進入中小學教學課程，積極向中小學拓展信息網絡安全教育，提升中學生對于網絡安全的認知，為選拔網絡人才打下堅實基礎。

3、營造網絡競爭與對抗氛圍

政府聯合地方部門或企業，舉辦網絡攻防競賽與對抗演習，通過實戰化競爭來甄選、培養、鍛煉未來的網絡安全精英。主要有4種方式：直接組織的網絡公開賽，企業出資贊助的高校網絡聯賽，軍方直接組織網絡演習，推出網絡快速追蹤計劃，甄選民間優秀網絡人才，以簽訂商業合同的方式，讓網絡攻防技能出色的小企業和個人參與其短期項目，從而將民間網絡黑客力量也納入其網絡人才隊伍。

4、加大互聯網安全基礎研究投入

目前信息產業正處于技術變革的前沿，大數據時代即將到來，并可能帶來新的經濟繁榮周期。我國應該加大對信息產業的投入，特別是增加相關基礎研究的投入，大力培養互聯網信息安全人才，發展具有自主知識產權的軟件與計算機硬件研發，創新機制支持新技術應用，為確保我國未來網絡信息安全提供技術支撐。

（七）完善激勵和培訓制度，激發工作積極性

公司網絡安全管理辦法范文5

1當前國有大型企業信息化管理體系安全現狀和差距

1.1信息化管理體系安全現狀

當前，一些國有大型企業的信息安全建設，有效保障了內部網絡的安全性和保密性，并形成了一套相關信息的安全管理制度，為后續信息系統安全體系的完善和發展奠定了堅實基礎。1.1.1安全基礎設施和系統信息基礎設施的安全是信息安全的基礎，目前企業已在物理層、網絡層和桌面系統加固與監控這3個方面，建設了一系列網絡安全防護設備，完善了企業的信息安全系統。1.1.2安全管理和制度信息安全管理制度是信息安全技術真正發揮作用的保證，企業已將信息安全管理作為信息化管理的主要內容之一，實施信息安全分類管理。在信息分類管理中制定了一系列管理制度、流程和標準，確保信息安全管理的有效和規范。同時，將信息安全管理納入各項安全管理工作，在財務管理、HES管理等重要業務管理中強化信息安全管理。由此可見，企業在信息化安全建設方面已做出巨大努力，但距離建立一套完整可用的信息安全體系的目標還存在一定差距。

1.2信息化管理體系安全問題的差距

部分企業雖然已經建立了專門的信息安全組織，制定了一些管理制度，部署的信息安全基礎設施也能提供基本的網絡安全性保障，但信息安全組織還不健全，信息標準的范圍和執行力度薄弱，未制定針對信息系統等級保護的相關制度，沒有部署上網行為管理系統等安全設備，缺少與信息管理、信息質量管理有關的規范，如各類編碼標準，信息質量控制流程等。因此，需要進一步制定、完善統一的信息管理制度和信息標準，依托強有力的技術手段，支撐信息化管理體系，并對標準執行建立相應的監督考核機制。

2企業信息化管理體系安全優化策略

2.1完善信息化制度管理體系

企業的信息化建設要采用制度化管理方法，通過制定企業信息系統相關的安全管理制度，做好服務器和數據庫系統的安全管理工作，保障企業珍貴數據資源安全。同時還要加強網絡輿情管理、企業機房管理、計算機現場管理及服務器相關管理制度建設，以及通信、網絡和信息系統相關應急預案等制度建設，規范網絡、服務器管理人員以及終端用戶的行為，逐步完善信息化制度管理體系。

2.2建立信息化安全管理體系

信息系統安全建設不僅是安全模塊功能的實現，還是一個整合的安全體系。信息安全是保護信息免受各種威脅和損害，確保業務的連續性，使業務風險最小化，投資回報和商業機遇最大化。信息安全是組織的一個業務問題，需要管理層的承諾和支持，還需要企業安全文化和運營流程作保障。

2.3建立信息化流程管理體系

信息安全管理流程首先要提升全體員工的信息安全意識、技能培訓和專業教育，然后對信息安全進行風險管理，要進行需求分析、控制實施、運行監控和響應恢復4個步驟，最后是信息安全監督檢查和改進，通過檢查和改進進一步提升員工的信息安全意識，形成閉環管理，如圖1所示。

2.4通過信息化技術支撐管理體系

為保障以安全可靠為核心的信息化管理體系的運行正常，有必要利用信息化技術給其最有效的支撐。2.4.1上網行為管理上網行為管理的主要目的是有效規范員工上網行為，助力構建企業安全、和諧、穩定的生產經營環境，其原則是“事前預防，事后溯源”。事前預防就是要做到事前制訂安全防范策略，最大限度保證機密數據和有害信息不由公司網絡流向社會。事后溯源就是要記錄每臺內部計算機與互聯網的信息交互內容，發生問題后迅速準確地定位到問題源頭，做到有據可查，能追本溯源。2.4.2端點防護建立企業級的端點防護系統，對終端實現安全合規性檢查和控制，加強策略管理。使用總體安全策略與本地自定義安全策略相結合的方式，在大規模部署端點防護系統的前提下，提升防病毒等安全管理系統的安裝率，促進網絡安全的綜合治理和改善。2.4.3端點準入控制可采用VRV系統作為端點準入控制的手段。端點準入控制包括對公司內網計算機，也包括由VPN接入的外網計算機。VRV強化了對網絡計算機終端狀態、行為以及事件的管理，提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時可控的內網管理平臺，并能同其他安全設備進行安全集成和報警聯動。2.4.4身份認證管理通過加強身份認證管理，實現用戶通過使用USBKey實現單點登錄，更為方便和安全地訪問應用系統，集中實現應用系統用戶帳號的電子化流程管理，并與員工HR信息的變化聯動，提高應用系統賬號管理的時效性，加強賬號管理力度，身份認證管理流程如圖2所示。2.4.5安全域根據安全需求強度的不同，可將安全域劃分為不同層次，要有針對性的采取安全控制和防護策略，針對信息系統網絡的網絡結構、數據流通模式以及安全防護需求，可將整體網絡劃分為3個安全域：核心安全域、接入安全域、邊界安全域。2.4.6邊界隔離網絡劃分安全區域后，在不同信任級別的安全區域之間就形成了網絡邊界?？邕吔绲墓舴N類繁多、破壞力強，邊界防護解決方案可徹底解決以上問題。企業邊界防護方案由防火墻、入侵防御系統、物理隔離網關組成。關鍵路徑上部署獨立的具有深度檢測防御的IPS（入侵防御系統）。深度檢測防御是為了檢測計算機網絡中違反安全策略的行為。使用IPS系統可以濾出DDOS攻擊，間諜軟件、BitTorrent數據流、釣魚攻擊等幾十類近100萬種攻擊類型。2.4.7流量控制和審計流量控制和審計方案主要涉及兩個方面，一是對流量的深度檢測和帶寬控制，二是對用戶訪問的網站進行海量篩查。通過這兩個手段在主觀或客觀上都能防止網絡用戶的不良行為，避免網絡性能和安全性受到負面影響。2.4.8訪問控制列表訪問控制列表（ACL）是為了阻止部分用戶不能訪問另一部分用戶或者服務而提出的。訪問控制列表通常應用于路由器或者三層交換機上，能阻止或允許某些網段的用戶訪問資源，也能阻止或允許某個用戶訪問資源。2.4.9網絡設備安全管理（1）網絡設備登錄安全通過用戶狀態進行存取控制，保證設備控制安全。限制SNMP和Telnet的用戶訪問。（2）網絡設備日志記錄對于網絡安全，不僅要關注網絡的事前防范能力，還要充分考慮事后跟蹤能力，在安全事件發生前后，可通過對用戶上網端口、時間、訪問地的記錄，全面追溯用戶上網的狀態，從而為后期分析提供第一手資料。（3）路由信息安全路由協議的安全管理主要通過路由信息交換的認證來保證。啟用PassiveInterface命令后，該接口的網段路由可以照常出去，但該接口不會再收發OSPF協議報文，也就不會再與任何其他路由設備建立鄰居關系，從而避免路由泄露。2.4.10專網企業可按照國家保密局、中辦機要局要求及國家相關標準建設辦公專網，通過驗收用于處理國家秘密及以下級別的文件和信息，供企業員工日常辦公使用。該網與互聯網物理隔離，并利用安全保密設備提高網絡和數據傳輸的安全性，與其他相關企業可采用專線方式單點連接。企業辦公專網的網絡架構如圖3所示。

2.5建立信息化考核評價管理體系

企業信息化流程管理系統評價體系可包含信息化建設有關的基礎管理內容及建立在此基礎上的資源、信息、程序、過程等要素管理。從信息化過程監控和改善來看，通過考核評價體系建立一組有效描述信息化建設與運行過程情況的信息，幫助公司識別相關技術和管理的不足，逐步改善公司的信息化過程，達到持續改進的目標。

2.6建立信息化隊伍管理體系

成立由公司領導班子成員、機關部門、基層單位主要領導組成的信息化領導小組，決策公司信息化建設中的重大問題，指導信息化項目建設；依托公司信息化工作的歸口管理部門，負責制訂企業信息化發展規劃，負責信息化工作的有關政策、管理辦法、技術標準和工作規范的制訂，并組織實施和檢查等工作。同時，注重對企業員工的專業培訓，采取激勵措施，培養一支高素質階梯化專業人才隊伍。

3結語

公司網絡安全管理辦法范文6

關鍵詞：中小型企業；信息網絡安全；網絡安全架構

Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號：TN915.08文獻標識碼：A文章編號：2095-2104（2013）

1、中小型企業網絡安全問題的研究背景

隨著企業信息化的推廣和計算機網絡的成熟和擴大，企業的發展越來越離不開網絡，而伴隨著企業對網絡的依賴性與日俱增，企業網絡的安全性問題越來越嚴重，大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘，在信息網絡越來越發達的今天，企業要發展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業的發展，甚至關乎到了企業的存亡。

2 、中小型企業網絡安全的主要問題

2.1什么是網絡安全

網絡安全的一個通用定義：網絡安全是指網絡系統中的軟、硬件設施及其系統中的數據受到保護，不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統能夠連續、可靠地正常運行，網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性的相關技術和理論，都是網絡安全主要研究的領域。

2.2網絡安全架構的基本功能

網絡信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性又被稱為網絡安全目標，對于任何一個企業網絡來講，都應該實現這五個網絡安全基本目標，這就需要企業的網絡應用架構具備防御、監測、應急、恢復等基本功能。

2.3中小型企業的主要網絡安全問題

中小型企業主要的網絡安全問題主要體現在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業業務的連續性和有效性，某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業業務徹底癱瘓。與此同時，公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式，在不經意間將病毒和木馬帶入企業網絡并進行傳播，進而給企業造成巨大的經濟損失。由此可見，網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點，包括網絡的邊界位置以及內部網絡環境。

2、信息竊取

信息竊取是企業面臨的一個重大問題，也可以說是企業最急需解決的問題。網絡黑客通過入侵企業網絡盜取企業信息和企業的客戶信息而牟利。解決這一問題，僅僅靠在網絡邊緣位置加強防范還遠遠不夠，因為黑客可能會伙同公司內部人員（如員工或承包商）一起作案。信息竊取會對中小型企業的發展造成嚴重影響，它不僅會破壞中小型企業賴以生存的企業商譽和客戶關系。還會令企業陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。

3、業務有效性

計算機木馬和病毒并不是威脅業務有效性的唯一因素。隨著企業發展與網絡越來越密不可分，網絡開始以破壞公司網站和電子商務運行為威脅條件，對企業進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業網絡的大量帶寬，使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的：數據和訂單丟失，客戶請求被拒絕……同時，當被攻擊的消息公之于眾后，企業的聲譽也會隨之受到影響。

3如何打造安全的中小型企業網絡架構

通過對中小型企業網絡存在的安全問題的分析，同時考慮到中小型企業資金有限的情況，我認為打造一個安全的中小型企業網絡架構應遵循以下的過程：首先要建立企業自己的網絡安全策略；其次根據企業現有網絡環境對企業可能存在的網絡隱患進行網絡安全風險評估，確定企業需要保護的重點；最后選擇合適的設備。

3.1建立網絡安全策略

一個企業的網絡絕不能簡簡單單的就定義為安全或者是不安全，每個企業在建立網絡安全體系的第一步應該是定義安全策略，該策略不會去指導如何獲得安全，而是將企業需要的應用清單羅列出來，再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略，企業需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”：

1.“進不來”——可用性： 授權實體有權訪問數據，讓非法的用戶不能夠進入企業網。

2.“出不去”——可控性： 控制授權范圍內的信息流向及操作方式，讓企業網內的商業機密不被泄密。

3.“讀不懂”——機密性： 信息不暴露給未授權實體或進程，讓未被授權的人拿到信息也看不懂。

4.“改不了”——完整性： 保證數據不被未授權修改。

5.“走不脫”——可審查性：對出現的安全問題提供依據與手段。

在“五不原則”的基礎上，再針對企業網絡內的不同環節采取不同的策略。

3.2 信息安全等級劃分

根據我國《信息安全等級保護管理辦法》，我國所有的企業都必須對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。具體劃分情況如下：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

因此，中小型企業在構建企業信息網絡安全架構之前，都應該根據《信息安全等級保護管理辦法》，經由相關部門確定企業的信息安全等級，并依據界定的企業信息安全等級對企業可能存在的網絡安全問題進行網絡安全風險評估。

3.3 網絡安全風險評估

根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統所存在的脆弱性，因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準，對網絡系統的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。

網絡安全風險評估對企業的網絡安全意義重大。首先，網絡安全風險評估是網絡安全的基礎工作，它有利于網絡安全的規劃和設計以及明確網絡安全的保障需求；另外，網絡安全風險評估有利于網絡的安全防護，使得企業能夠對自己的網絡做到突出防護重點，分級保護。

3.4確定企業需要保護的重點

針對不同的企業，其需要保護的網絡設備和節點是不同的。但是企業信息網絡中需要保護的重點在大體上是相同的，我認為主要包括以下幾點：

1.要著重保護服務器、存儲的安全，較輕保護單機安全。

企業的運作中，信息是靈魂，一般來說，大量有用的信息都保存在服務器或者存儲設備上。在實際工作中，企業應該要求員工把相關的資料存儲在企業服務器中。企業可以對服務器采取統一的安全策略，如果管理策略定義的好的話，在服務器上文件的安全性比單機上要高的多。所以在安全管理中，企業應該把管理的重心放到這些服務器中，要采用一切必要的措施，讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業服務器的防護。

2.邊界防護是重點。

當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要，相反的邊界防護是網絡防護的重點。網絡邊界是企業網絡與其他網絡的分界線，對網絡邊界進行安全防護，首先必須明確到底哪些網絡邊界需要防護，這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分，負責對網絡流量進行最初及最后的過濾，對一些公共服務器區進行保護，VPN技術也是在網絡邊界設備建立和終結的，因此邊界安全的有效部署對整網安全意義重大。

3.“”保護。

企業還要注意到，對于某些極其重要的部門，要將其劃為，例如一些研發部門。類似的部門一旦發生網絡安全事件，往往很難估量損失。在這些區域可以采用虛擬局域網技術或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護，雖然對比服務器、存儲和邊界防護，終端計算機的安全級別相對較低，但最基本的病毒防護，和策略審計是必不可少的。

3.5選擇合適的網絡安全設備

企業應該根據自身的需求和實際情況選擇適合的網絡安全設備，并不是越貴越好，或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。

作為網絡安全重要的一環，防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一，并且幾乎所有的網絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中，最?？吹降氖遣l連接數、網絡吞吐量兩個指標.

并發連接數：是指防火墻或服務器對其業務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力，這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接，按每個臺計算機發生20個并發連接數計算（很多文章中提到一個經驗數據是15，但這個數值在集中辦公的地方往往會出現不足），假設企業中的計算機用戶為500人，這個企業需要的防火墻的并發連接數是：20*500*3/4=7500，也就是說在其他指標符合的情況下，購買一臺并發連接數在10000~15000之間的防火墻就已經足夠了，如果再規范了終端用戶的瀏覽限制，甚至可以更低。

網絡吞吐量：是指在沒有幀丟失的情況下，設備能夠接受的最大速率。隨著Internet的日益普及，內部網用戶訪問Internet的需求在不斷增加，一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務，這些因素會導致網絡流量的急劇增加，而防火墻作為內外網之間的唯一數據通道，如果吞吐量太小，就會成為網絡瓶頸，給整個網絡的傳輸效率帶來負面影響。因此，考察防火墻的吞吐能力有助于企業更好的評價其性能表現。這也是測量防火墻性能的重要指標。

吞吐量的大小主要由防火墻內網卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統進行大量運算，通信量大打折扣。因此，大多數防火墻雖號稱100M防火墻，由于其算法依靠軟件實現，通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。

從實際情況來看，中小型企業由于企業規模和人數的原因，一般選擇百兆防火墻就已經足夠了。

3.6投資回報率

在之前作者曾提到的中小企業的網絡特點中資金少是最重要的一個問題。不論企業如何做安全策略以及劃分保護重點，最終都要落實到一個實際問題上——企業網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上，是看不到任何產出的，那么網絡安全的投資回報率該如何計算呢?

首先，企業要確定公司內部員工在使用電子郵件和進行WEB瀏覽時，可能會違反公司網絡行為規范的概率?？梢詫⑦@個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業做的調查報告可知，通常有25%—30%的員工會違反企業的使用策略，作者在此選擇25%作為計算安全投資回報率的暴光值。那么，一個擁有100名員工的企業就有100x 25% = 25名違反者。

下一步，必需確定一個因素——當發現單一事件時將損失多少人民幣?？梢詫⑺Q為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規定，因此，可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如，作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后，企業需要確定在一周的工作時間之內，處理25名違規員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣，就可以按下列公式來計算單一預期損失值：

25x ￥10 x 10/ h = ￥2500 (SLE)

最后，企業要確定這樣的事情在一年中可能會發生多少次。可以叫它為預期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發生，一年有52周，如果除去我國的春節和十一黃金周的兩個假期，這意味著一個企業在一年中可能會發生50次這樣的事件，可以將它稱之為年發生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發生率(ARO)乘以預期單一損失(SLE)：

￥2500 x 50 = ￥125,000 (ALE)

這就是說，該公司在沒有使用安全技術防范措施的情況下，內部員工的違規網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道，如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監控解決方案，就可能讓企業每年減少12.5萬元人民幣的損失，這個安全防范方案當然是值得去做的。

當然，事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的，安全防范是一個持續過程，其中必然會牽扯到人力和管理成本等因素。而且，任何一種安全技術或安全解決方案并不能保證絕對的安全，因為這是不可能完成的任務。

就拿本例來說，實施這個網絡行為監控方案之后，能夠將企業內部員工的違規行為，也就是暴光值(EV)降低到2%就已經相當不錯了。而這，需要在此安全防范方案實施一段時間之后，例如半年或一年，企業才可能知道實施此安全方案后的最終效果，也就是此次安全投資的具體投資回報率是多少。

有數據表明在國外，安全投入一般占企業基礎投入的5%～20%，在國內一般很少超過2%，而網絡安全事件不論在國內外都層出不窮，企業可能在安全方面投入了很多，但是仍然頻頻發生網絡安全事故。很多企業的高層管理者對于這個問題都比較頭疼。其實網絡安全理論中著名的木桶理論，很好的解釋了這種現象。企業在信息安全方面的預算不夠進而導致了投資報酬不成比例，另外很多企業每年在安全產品上投入大量資金，但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素。缺乏系統的、科學的管理體系的支持，也是導致這種結果產生的原因。