企业网络安全技术范例

企业网络安全技术范文1

关键词：网络安全；防火墙；网络管理；VPN

一、 前言

我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来，随着我国互联网的普及以及和信息化建设步伐的加快，对的需求也以前所未有的速度迅猛增长，这也是由于网络安全问题的日益突出，促使网络安全企业不断采用最新安全，不断推出满足用户需求、具有时代特色的安全产品，也进一步促进了网络安全技术的发展。

二、 企业网络安全系统现状

如果想从根本上克服网络安全问题，我们需要首先分析距真正意义上的网络安全到底存在哪些差距。

就目前而言，企业的网络安全还存在这样或那样的问题，离真正的安全的网络还有不可逾越的差距。

1. 网络安全管理体系不完善，需要通过实施策略对流程进行细化，其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。

2. 涉及网络安全的各个层次，特别是基层人员对网络安全工作的重要性认识不足，必须强化把网络安全作为一项重点工作开展，并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。

3. 网络安全管理组织不完整，现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担，安全责任相对比较分散，存在一定程度的安全责任无法落实到具体人的现象。

4. 具有普及性的安全教育和培训不足，人员信息安全意识水平不统一。

5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距，在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。

6. 防病毒系统没有实现整体统一，存在防病毒的局部能力不足。

7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施，但安全产品之间无法实现联动，安全信息无法挖掘，安全防护效果低，投资重复，存在一定程度的安全孤岛现象。另外，安全产品部署不均衡，各个系统部署了多个安全产品，但在系统边界存在安全空白，没有形成纵深的安全防护。

8. 对终端管理没有统一策略，操作系统版本、操作系统补丁等没有统一的标准和管理。

9. 没有应急响应流程和业务持续性计划，发生安全事件后的处理和恢复流程不足，对可能造成的业务中断没有紧急预案。

三、企业网络安全对策

1.防范网络病毒。网络病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。所以，最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。

2.设置防火墙。利用防火墙在网络通信时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。

3.VPN： 企业规模的扩大，不同分支机构之间的网络连接既要考虑到安全可靠，又同时要考虑到成本问题，所有的网络通讯均使用专线连接固然是安全，但成本因素却是无法回避的问题。因而，安全、廉价的VPN技术应运而生并得到了广泛的应用，通过在网络边界处架设VNP网关，实现企业的分支机构间通过Internet实现安全可靠的低成本连接。

4.采用入侵检测系统。入侵检测系统能够识别出任何不希望有的活动，并这些活动，以保护系统的安全。内部局域网采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，构架成一套完整的主动防御体系。

5.建立网络安全监测系统。在网络的www服务器、E-mail服务器等中使用网络安全监测系统，实时跟踪、监视网络，截获网上传输的内容，并将其还原成完整的www、E-mail、FTP、Telnet应用的内容，同时建立保存相应记录的数据库，发现在网络上传输的非法内容，及时向上级安全网管中心报告，予以解决。

6.利用网络监听并维护子网系统安全。对于网络内部的侵袭，可以采用对各个子网建立一个具有一定功能的过滤文件，为管理人员分析自己的网络运作状态提供依据。。

7.安全技术培训

    提供层次化的安全专题讲座，包括安全技术基础、各操作系统安全、信息安全管理以及一系列培训。

四、结论

综合以上的分析，我们可以得出一个结论：那就是企业当前所面临的安全形势在变得更加严峻，不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战，从而要求我们的网络安全解决方案集成不同的产品与技术，来针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施，建立完整的企业信息与网络系统的安全防护体系，在安全法律、法规、的支持与指导下，通过制定客户化的安全策略采用合适的安全技术和进行制度化的安全管理，保障企业信息与网络系统稳定可靠地运行，确保企业与网络资源受控合法地使用。

参考文献：

[1]卢开澄：《计算机密码学—计算机网络中的数据预安全》（清华大学出版社 1998）

[2]余建斌：《黑客的攻击手段及用户对策》（北京人民邮电出版社 1998）

[3]蔡立军：《计算机网络安全技术》（中国水利水电出版社 2002）

企业网络安全技术范文2

网络技术的迅猛发展在带来信息交流沟通便利的同时，也加剧了网络安全的威胁。。文章就常见的网络安全威胁因素进行了总结，并提出了有效的网络安全维护技术。

关键词：

网络安全；企业网；安全技术；安全威胁

1网络安全技术概述

21世纪信息时代到来，网络充斥于生产与生活，在带来网络便利的同时也引发了网络安全性的思考。网络安全技术的研发成为世界性课题。。进入到21世纪，网络技术飞速发展，网络环境更加复杂与多样，网络安全漏洞、网络黑客入侵层出不穷，网络技术面临物理安全、网络结构、系统安全、管理安全等多个层面的安全考验，网络安全技术应运而生。企业网作为企业的网络组织，是伴随企业发展建立起来的网络组织，可以更好地展示企业产品与形象，是企业文化建设、产品推广、内部管理的重要载体，以期满足企业各方面的发展需求，员工借助企业网获取企业通信资源、处理器资源及信息资源，提升员工对企业价值的认同。。网络安全技术的重要性也伴随企业网的建构逐渐凸显，因此做好企业网络技术安全管理十分必要。

2我国企业网安全维护现状

信息时代的到来，企业对网络的依赖越来越强，通讯工程与电子信息技术使得互联网的优势更加凸显，企业网建设成为企业发展到一定阶段的必然产物，渗透到企业设计、企业管理、企业宣传的方方面面。由此产生的企业网安全问题也伴随而生，带来的网络安全隐患越来越多，企业网网络安全建设与维护成为世界性话题。纵观企业网安全管理现状，首先企业网络软硬件设施参差不齐，不同的经济实力与产业发展潜力决定企业的网络建设水平及安全性能。。。因此总体上来说，我国企业网的安全建设投入不足。。网络问题的频发更提出了网络安全管理制度建构的需求，但我国网络立法及管理方面稍显薄弱，企业员工普遍缺乏网络安全意识，网络安全管理制度的落地还有一段距离，整个网络环境亟待健全与完善。

3企业网安全影响因素

3.1来自于网络协议的安全缺陷

网络本身具有自由开放与共享性，网络协议是信息共享的关键与前提。。

3.2来自于软硬件层面的安全缺陷

企业网的正常运行除了安全的网络协议，更需要软硬件的支持。而网络软硬件作为互联网的主要组成，其自身安全性却十分脆弱。软硬件层面的安全缺陷比比可见：网络与计算机存在电磁信息泄露风险，软硬件通讯部分具有一定的脆弱性；；。而软件的缺陷影响也显而易见。软件缺陷因为其先天特征为主，因此无论是小程序还是大型的软件系统都有这样或那样的设计缺陷，而这些设计缺陷则为病毒黑客的入侵提供了便利，网络病毒以软件形式在企业网中传播，对企业网安全带来威胁。

4企业网安全主要威胁因素

4.1计算机系统设计缺陷

计算机系统是企业网的核心，而计算机系统功能的正常发挥得益于计算机系统程序设计的合理，计算机系统程序设计相对简单，但难点在于后期的维护与定期的升级优化。网络建设不能一蹴而就，网络建构是从不系统不完善到系统完善逐渐过渡的过程，网络建构初期就应该树立系统维护与管理意识，将网络安全融入网络建构的每个环节。。在程序优化的基础上奠定企业网系统运作的良好基础。

4.2计算机病毒入侵的威胁

。。。。除了极强的破坏性与潜伏性外，计算机病毒种类多样，防不胜防，其中比较常见的有木马病毒、蠕虫病毒、脚本病毒，病毒的存在为黑客攻击及信息盗取提供便利，是企业网的巨大威胁因素。

4.3黑客入侵及恶意性攻击

网络攻击简单地理解就是黑客攻击，黑客一般具备较强的计算机识别技术，通过非法攻击计算机系统，获取计算机用户终端的重要信息。。

4.4借助网络开展诈骗

。部分企业管理人员缺乏必要的网络诈骗警惕心理，轻信诈骗谎言，给企业带来巨大的财产损失。。

5网络安全技术在企业网中的应用

5.1网络防火墙技术

防火墙是最常见的网络安全保护技术，在企业网安全性维护方面发挥重要作用。防火墙可以有效应对网络病毒入侵，在企业网的运用中有两种表现形式，分别为应用级防火墙技术和包过滤型防火墙技术。。而包过滤型防火墙主要工作任务是及时过滤路由器传输给计算机的数据信息，实现固定信息的过滤，将病毒黑客阻挡在企业网之外，同时第一时间通知用户拦截病毒信息，做好企业网安全屏障保护。

5.2数据加密处理技术

除了防火墙网络安全保护技术外，数据加密技术在企业网安全维护中也有积极作用。对于企业来说，伴随自身发展壮大，其企业网对安全性与可靠性方面要求更高，而加密技术则很好地满足企业上述安全保护需求。通过将企业内网的相关数据作加密处理，数据传输与信息调取只有在密码输入正确的前提下才能执行，通过文件资料的加密处理提升企业网的安全性能。目前对称加密算法和非对称加密算法是比较常见的加密形式，前者要求加密信息和解密信息需一致，后者的加密方法和解密方法则存在较大差异，这两种加密方法都很难被黑客破解，因此在企业网的安全维护中得到了广泛应用。

5.3病毒查杀处理技术

病毒查杀技术是基于病毒对企业网的威胁而产生的网络安全处理技术，其也是企业网安全维护的常用手段之一。。在安装正版病毒查杀软件后应定期清理病毒数据库。。

5.4系统入侵的检测技术

入侵检测技术在企业网安全维护中可以起到早发现早抵制，将病毒黑客等不良因素排斥在企业网之外。入侵检测技术具有诸多优势。其一，可以通过收集计算机网络数据信息开展自动安全检测。其二，及时发现系统中潜在的安全风险，将侵害行为的危害降到最低。其三，企业网一旦受到侵害，自动发出求救报警信号，系统自动切断入侵通道。其四，做好所有非法入侵的有效拦截。。此外整个企业网检测要求全面覆盖，耗费大量时间，也降低工作效率。入侵检测技术在企业网安全维护中的引入更需要结合企业网运行实际。

5.5物理环境层面的应对技术

。建议选择安全性高的光纤作为通讯传输介质。运行环境的影响因素主要是意外断电停电。随着信息化程度的加剧，企业对网络产生巨大依赖，一旦意外断电或者停电，企业数据网络中断，信息正常传输受阻，给企业带来不必要的损失。为了提升运行环境的稳定性，企业安装不间断电源可以有效减少停电带来的损失。定期检查通讯线路，确保线路通畅，提供备选冗余线路，在某条线路发生中断时能选择备份线路连接，确保网络传输正常，降低财产损失。

5.6虚拟局域网安全处理技术

。虚拟局域网操作简单，技术灵活，其在OSI参考模型的数据链路层和网络层上，由单一的子网形成特定的逻辑广播域，子网通过网络层的路由器或者三层交换机转化沟通，实现多个网络设备的多层面覆盖，其灵活性体现在其允许处于不同地理位置的网络用户自由添加到逻辑子网中，这种自由并入技术使得虚拟局域网的网络拓扑结构更清晰。

6结语

企业网是社会时代及企业发展的必然产物，反映了信息社会未来发展轨迹。但与网络建设相伴而生的则是网络安全问题，涉及技术、产品及管理多个层面的内容，带有很强的综合性，仅仅依靠单一的防护体系显然不够。本文在分析网络安全技术发展的基础上，明确了当前企业网主要安全影响因素，针对几种比较重要的网络安全技术在企业网安全维护中的作用作了阐述。在分析网络安全问题时更应该从需求出发，将安全产品的研发与技术结合起来，运用科学的网络管理方法，建构更加系统、高效、安全的企业网络体系。

单位：苏州高等职业技术学校

[参考文献]

[1]王蔚苹.网络安全技术在某企业网中应用研究[D].成都：电子科技大学，2010.

[2]何向东.网络安全管理技术在企业网中的应用[J].微型电脑应用，2013（1）：52-53.

[3]徐均，周泓宇，徐婧，等.P2DR网络安全模型在企业园区网中的研究与应用[J].中国新技术新产品，2013（16）：24-25.

企业网络安全技术范文3

关键词：网络安全；防火墙；DMZ

中图分类号：TP393.08 文献标识码：A文章编号：1009-3044(2007)12-215-03

Firewall Technology and Tobacco Processing Factory Network Security

ZHANG Song-lin

(Hefei University of Technology,Hefei 230039,China)

Abstract: Computer Network Technology of the rapid development of enterprises within the scope of the global sharing of information and resources to provide a convenient, effectively reduce the company's operating costs and to change the traditional work patterns. Along with the internal network and the increasing external networking gradually increased. A safe and reliable enterprise network security system is very important for us. To address enterprises in the development of the information industry is facing network information security issues, the full study of the network security needs on the basis of By analyzing the current classification of firewall technology and the advantages and disadvantages of various types of firewalls, Construction of enterprises in the firewall on the Firewall option and set up to make recommendations and to develop corresponding security strategy. Use corresponding security technology as a means to be achieved.

Key words:network security;firewall;DoS

1 引言

20世纪90年代以来，烟草系统信息进程得到巨大的发展和广泛的应用。计算机应用技术的普及，信息技术的迅猛发展，信息化建设给这个行业带来了新的机遇和挑战。而对于打叶复烤企业来说，由于企业规模较小，计算机应用基础薄弱。随着信息化建设的不断深入，特别是计算机网络技术应用（如企业网络的应用系统，主要有WEB、E-mail、OA系统、MIS系统等）范围越来越广，不可避免的就会带来了网络攻击、内部网络使用混乱、信息盗窃和其它危及企业正常生产及经营活动的行为，从而直接威胁到打叶复烤企业网络与信息方面的安全问题。

2 网络安全

2.1 网络安全的概念

信息技术的使用给人们的生活和工作带来了便捷，然而，计算机信息技术也和其它学科一样是一把双刃剑，当大部分人使用信息技术提高了工作效率，为社会创造更多财富的同时，另外一些人却利用信息技术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息，篡改和破坏数据，造成难以估量的损失。

网络安全是一个关系到、社会稳定、民族文化的继承和发扬等重要问题。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科。

计算机网络的安全不是绝对的。安全是有成本的，而且也有时间。因此，安全是指化多大成本在多长时间之内可以保证计算机网络安全。安全问题的解决依赖于法律、管理机制和技术保障等多方面相互协调和配合，形成一个完整的安全保障体系。

2.2 网络安全的需求

计算机网络安全是随着计算机网络的发展和广泛应用而产生的，是计算机安全的发展与延伸。可以用系统的观点把计算机网络看成一个扩大了的计算机系统，因此许多关于计算机安全的概念和机制也同样适用于计算机网络。虽然网络安全同单个计算机安全在目标上并没有本质区别，但由于网络环境的复杂性，网络安全比单个计算机安全要复杂得多[1]。

第一，网络资源的共享范围更加宽泛，难以控制。共享既是网络的优点，又是风险的根源，它会导致更多的用户（友好与不友好的）远程访问系统，使数据遭到拦截与破坏，以及对数据、程序和资源的非法访问。

第二网络支持多种操作系统，这使网络系统更为复杂，安全管理和控制更为困难。

第三网络的扩大使网络的边界和网络用户群变得不确定，对用户的管理较计算机单机困难得多。

第四单机的用户可以从自己的计算机中直接获取敏感数据，但网络中用户的文件可能存放在远离自己的服务器上，在文件的传送过程中，可能经过多个主机的转发，因而沿途可能受到多处攻击。

第五由于网络路由选择的不固定性，很难确保网络信息在一条安全通道上传送。

基于以上5个特点的分析可知，保证计算机网络的安全，就是要保护网络信息在存储和传动过程中的保密性、完整性、可用性、可控性和真实性。

(1)数据的保密性

数据的保密性是网络信息不被泄露给非授权的用户和实体，信息只能以允许的方式供授权用户使用的特性。也就是说，保证只有授权用户才可以访问数据，而其他人对数据的访问。

(2)数据的完整性

数据的完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传送过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放及插入等破坏和丢失的特性。

(3)数据的可用性

数据的可用性是网络信息可被授权实体访问并按需求使用的特性，即需要网络信息服务时允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。影响网络可用性的因素包括人为和非人为两种，前者有非法占用网络资源，切断或阻塞网络通信，通过病毒、蠕虫或者拒绝服务攻击降低网络性能，甚至使网络瘫痪等；后者有灾害事故（水灾、火灾、雷击等）和系统死锁、系统故障等。

(4)数据的可控性

数据的可控性是控制授权范围内的网络信息流向和行为方式的特性，如对信息的访问、传播及内容具有控制能力。

(5)数据的真实性

数据的真实性又称不可抵赖或不可否认性，指在网络信息系统的信息交互过程中参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

2.3 安全攻击的种类和常见形式

对网络信息系统的攻击来自很多方面，这些攻击可以宏观地分为人为攻击和自然灾害攻击。它们都会对通信安全构成威胁，但精心设计的人为攻击威胁更大，也最难防备。对网络信息系统的人为攻击，通常都是通过寻找系统的弱点，以非授权的方式达到破坏、欺骗和窃取数据等目的[2]。

2.3.1 主动攻击

主动攻击涉及某些数据流的篡改或虚假数据流的产生，这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。

(1)假冒：假冒指某个实体（人或系统）假扮另外一个实体，以获取合法用户的权力和特权。

(2)重放：重放即攻击者对截获的某次合法数据进行复制，以后出于非法目的的重新发送，以产生未授权的效果。

(3)篡改消息：篡改消息是指一个合法消息的某些部分被改变、删除，或者消息被延迟或改变顺序，以产生未授权的效果。

(4)拒绝服务：拒绝服务即常说的DoS（Deny of Service），会导致对通信设备的正常使用或管理被无条件地拒绝。通常是对整个网络实施破坏，如大量无用信息将资源（如通信带宽、主机内存）耗尽，以达到降低性能，中断服务的目的。这种攻击可能有一个特定的目标，如到某一特定目的地（如安全审计服务）的所有数据包都被阻止。

2.3.2 被动攻击

被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。通常包括监听未受保护的通信、流量分析、解密弱加密的数据流、获得认证信息（如密码）等。

(1)搭线监听：搭线监听是最常用的手段，将导线搭到无人职守的网络传输线上进行监听。

(2) 无线截获：通过高灵敏度的接受装置接受网络节点辐射的电磁波或网络连接设备辐射的电磁波，通过对电磁信号的分析恢复原数据信号，从而获得网络信息。

(3)其它截获：用程序和病毒截获信息是计算机技术发展的新型手段，在通信设备或主机中预留程序代码或施放病毒程序后，这些程序会将有用的信息通过某种方式发送出来。

3 防火墙技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全[3]。

从技术上看，防火墙有三种基本类型：包过滤型、服务器型和复合型。它们之间各有所长，具体使用哪一种或是否混合使用，要根据具体需求确定[4]。

(1)包过滤型防火墙(Packet Filter Firewall)

通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。

(2)服务器型防火墙(Proxy Service Firewall)

通过在计算机或服务器上运行的服务程序，直接对特定的应用层进行服务，因此也称为应用层网关级防火墙。服务器型防火墙的核心，是运行于防火墙主机上的服务器进程，实质上是为特定网络应用连接企业内部网与Internet的网关。它用户完成TCP／IP网络的访问功能，实际上是对电子邮件、FTP、Telnet、WWW等各种不同的应用各提供一个相应的。这种技术使得外部网络与内部网络之间需要建立的连接必须通过服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。服务器型防火墙的缺点是可能影响网络的性能，对用户不透明，且对每一种TCP／IP服务都要设计一个模块，建立对应的网关，实现起来比较复杂。

(3)复合型防火墙(Hybrid Firewall) [5]

由于对更高安全性的要求，常把基于包过滤的方法与基于应用的方法结合起来，形成复合型防火墙，以提高防火墙的灵活性和安全性。这种结合通常有两种方案：

屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

企业在选择防火墙时不仅要考虑防火墙的安全性、实用性、而且还要考虑经济性，防火墙产品的安全性、实用性和经济性是相互制约和平衡的。

4 打叶复烤企业防火墙的设置

必须妥善地规划其架构，拟定其安全，最重要的是必须彻底执行其安全，而防火墙是落实这些安全的重要工具之一。Internet网络商用化的趋势愈来愈明显，企业也不断通过应用网络技术提高生产销售的水平，单位网络的安全性规划更是刻不容缓。一个好防火墙的规划必须能充分配合执行单位所制定的安全，再加上安全的建置架构，方能提供单位一个方便而安全的网络环境。

图1以屏蔽子网防火墙为例介绍打叶复烤企业防火墙的设置，一级堡垒防火墙是整个内部网络对外的枢纽，是必需设立的。它一边连接单位内部网络，一边通往外部网络。外部网络上可摆单位对外提供服务的主机，例如：WEBServer、EMAILServer、POP3Server及FTPServer等，提供对外服务。防火墙的设定，可保证服务器主机只提供它应提供的服务，而阻挡所有不当的存取与连线，避免黑客在服务主机上开后门[6]。

打叶复烤企业可根据实际需要，将其他部门的子系统保护在隔断防火墙内，比如生产运行实时控制系统、企业运行管理信息系统、企业营销管理系统、企业多种经营管理系统等。同时可以将某些较重要而有安全顾虑的部门网络，加上防火墙的配置，此即所谓的单位内防火墙(IntranetFirewall)。单位内防火墙的功能与主防火墙类似，但因为其数量可能很多，会分配到电力部门的网络内，因此其管理规则的设定、系统的维护，不应太过于困难。单位希望建置一个安全的网络环境，除了采用防火墙之外，当然还提供单位一个方便而安全的网络环境。

图1 企业屏蔽子网防火墙拓扑图

4 结论

打叶复烤企业所面临的网络安全问题是多种多样的，所以企业设计和部署防火墙也就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等。。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，所有这些都使打叶复烤企业将要面对网络信息系统安全的挑战。

参考文献:

[1]孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001,(12):109-110.

[2]刘占全.网络管理与防火墙技术[M].人民邮电出版社，2000.

[3]Greg Holden(美).防火墙与网络安全[M]. 清华大学出版社，2004.

[4]郭炎华.网络信息与信息安全探析[J].情报杂志，2001,6.

[5]刘克龙,蒙杨.一种新型的防火墙系统[J].计算机学报,2006,8.

企业网络安全技术范文4

关键词： 网络信息安全； 计算机； APT； 安全防御； 恶意威胁

中图分类号： TN711?34 文献标识码： A 文章编号： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展，电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分，各类工作对网络的高度依赖，各类信息以结构化、非结构化的方式储存并流转于网络当中，一旦信息网络被攻破，则往往导致服务中断、信息泄漏、甚至指令错误等事件，严重威胁生产和运行的安全。因此，保障网络信息安全就是保护电网企业的运行安全，保障网络安全是电网企业的重要职责[1]。

目前的网络信息安全形势依然严峻，近年来，业务从单系统到跨系统，网络从零星分散到大型化、复杂化，单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要，应针对性地研究具有纵深防御特点的安全防护体系，以信息安全保障为核心，以信息安全攻防技术为基础，了解信息安全攻防新技术，从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变，建立全面的信息安全防护体系。

1 概 述

从广义层面而言，网络信息安全指的是保障网络信息的机密性、完整性以及有效性，涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言，网络信息安全指的是网络信息的安全，主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时，网络系统可以持续正常运行，为企业提供所需的服务。

。整体上看，电网企业的信息安全问题仍不容乐观，近年来随着网络的复杂化，攻击的新型化和专业化，网络安全防护的情况亟待加强。总体而言，首先要加强并提升网络、应用等方面安全水平，保证信息源头的安全情况；其次加强管理类安全，特别是人员管理、运维管理等方面；最后研究分析最新攻防技术的特点，结合电网实际现状，构建适用于现有网络环境与架构的信息安全纵深防御体系。

本文主要针对第三点展开论述，研究包括高级持续威胁（APT）防护技术、漏洞扫描技术等新型的攻击及其防护技术，提取在复杂网络系统中的防御共同点，并给出一类策略用于分析网络信息安全防御的有效性。

2 信息安全的攻防新技术

电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面，通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击，通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御，对内部的防御手段往往滞后，电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效，恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全；另一方面，电网企业中目前使用的防御技术一般是孤立的，未形成关联性防御，而目前新型的攻击往往会结合多个漏洞，甚至是多个0day漏洞进行组合攻击，使得攻击的隐蔽性、伪装性都较强。因此，要构建信息安全防御体系，仅凭某单一的防护措施或技术无法满足企业的安全要求，只有构建完整的信息安全防护屏障，才能为企业提供足够的信息安全保障能力。

经过分析，目前针对电网企业的新型攻防技术有如下几类：

2.1 高级持续威胁攻击与防护技术

高级持续威胁（APT）是针对某一项有价值目标而开展的持续性攻击，攻击过程会使用一切能被利用的手段，包括社会工程学攻击、0day漏洞攻击等，当各攻击点形成持续攻击链后，最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网（Stuxnet）”蠕虫病毒攻击，通过攻击工业用的可编程逻辑控制器，导致伊朗近[15]的核能离心机损坏。

。

2.1.1 基于沙箱的恶意代码检测技术

恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码，传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术，构造模拟的程序执行环境，让可疑文件在模拟环境中运行，通过软件所表现的外在行为判定是否是恶意代码。

2.1.2 基于异常的流量检测技术

传统的入侵检测系统IDS都是基于特征（签名）的深度包检测（DPI）分析，部分会采用到简单深度流检测（DFI）技术。面对新型威胁，基于DFI技术的应用需要进一步深化。基于异常的流量检测技术，是通过建立流量行为轮廓和学习模型来识别流量异常，进而识别0day攻击、C&C通信以及信息渗出等恶意行为。

2.1.3 全包捕获与分析技术

由于APT攻击的隐蔽性与持续性，当攻击行为被发现时往往已经持续了一段时间；因此需要考虑如何分析信息系统遭受的损失，利用全包捕获及分析技术（FPI），借助海量存储空间和大数据分析（BDA）方法，FPI能够抓取网络定场合下的全量数据报文并存储，便于后续的历史分析或者准实时分析。

2.2 漏洞扫描技术

漏洞扫描技术是一种新型的、静态的安全检测技术，攻防双方都会利用它尽量多地获取信息。一方面，攻击者利用它可以找到网络中潜在的漏洞；另一方面，防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类，漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。

2.2.1 基于网络的安全漏洞扫描技术

基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如，通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括：易操作性，扫描在执行过程中，无需目标网络或系统主机Root管理员的参与；维护简便，若目标网络中的设备有调整或变化，只要网络是连通的，就可以执行扫描任务。但是基于网络的扫描也存在一些局限性：扫描无法直接访问目标网络或系统主机上的文件系统；其次，扫描活动不能突破网络防火墙[3]。

2.2.2 基于主机的安全漏洞扫描技术

基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机，记录网络或系统配置、规则等重要项目参数，通过获取的信息与标准的系统安全配置库进行比对，最终获知系统的安全漏洞与风险。

基于主机的安全漏洞扫描技术的优点包括：可使用的规则多，扫描结果精准度高；网络流量负载较小，不易被发现。该技术也存在一些局限性：首先，基于主机的安全漏洞扫描软件或工具的价格昂贵；其次，基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。

3 基于最小攻击代价的网络防御有效性分析策略

恶意攻击总是以某一目标为导向，恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下，如果可以尽可能大地提高恶意攻击者的攻击代价，则对应能达到提高有效防御的能力。基于这个假设，这里展示一种在复杂网络环境下分析攻击有效性的策略，并依此计算从非安全区到目标区是否存在足够小的攻击代价，让恶意攻击可以获取目标。如果存在，则可以被恶意攻击利用的路径将被计算出来；如果不存在，则证明从非安全区到目标区的安全防御能力是可以接受的。

以二元组的形式描述网络拓扑图[4][C，]其中节点是网络中的各类设备，边表示设备间的关联关系。假设非安全区域为[Z，]目标区域为[D。]在网络中，攻击者如果能达到目标，必然至少存在一条从非安全区节点到目标节点[d]的通路[p，]且这条通路上的攻击代价小于值[w。]其中，攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息，实现其对目标的入侵行为所付出的代价。直观地，由于攻击行为往往会因遇到安全设备和安全策略的阻拦，而导致其成功实现其攻击目的的时间、精力甚至资金成本提高，攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。

在图[G]中，每一个节点[v]具有输入权限[q]和获利权限[q]（如表1所示）、本身的防护能力[pr]以及风险漏洞数L（L≥0）。攻击者能力是指攻击者通过输入权限[q，]通过任意攻击手段，在节点[v]上所能获取的最高权限值（获利权限）[q′。]直观地，输入权限代表攻击者在对某节点进行攻击前所拥有的权限，如Web服务器一般均具有匿名访问权限；获利权限代表攻击者最终可以利用的系统权限。

最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中，防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4]，也是该网络的防护能力有效性分值。

攻击代价阈值：一旦攻击者付出的攻击代价超过其预期，攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为，转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值，则说明攻击目标可以达到。

攻击代价阈值一般可以通过人工方式指定，本文采用德尔斐法，也被称为专家咨询法的方式来确定。经过专家分析和评判，将攻击代价阈值设定为[t，]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。

4 网络防御有效性分析应用

假设在电网企业复杂网络环境场景下存在一类新型的APT攻击，网络中使用两种策略A，B进行攻击防御。策略A采用了现有的隔离与防御技术，策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价，并进而对APT防护效果进行分析。

4.1 策略选取

4.1.1 策略A

图1为一个简化的复杂网络环境实例拓扑，其中DMZ区部署的Web服务器为内、用户提供Web服务，电网地市局局域网的内部用户不允许与直接连接，限网。各安全域之间具体访问控制策略如下：

（1） 只允许地市局局域网用户访问DMZ区Host2（H2）上的IIS Web服务和Host3（H3）上的Tomcat服务；

（2） DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4（H4）上的Oracle DB服务；

（3） 禁止H2和H3访问Domino服务器Host5（H5）；

（4） H5允许访问DMZ的H2和H3及IDC区的H4。

4.2 效果分析

通过上述计算结果表明，在应用策略A与B情况下，局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是（0.3，0.3，0.51）与（0.93， 0.93，0.979）。在策略A的情况下，通过DMZ区的H2为跳板，攻击IDC的目标主机H4，最短攻击路径的防护有效性分值只有0.51，说明局域网内的攻击者能在花费较小代价的情况下，轻易地获取内网DMZ或IDC服务器的系统权限，从而造成较大的危害。而增加APT防护设备之后，通过DMZ区的H2为跳板，攻击IDC的目标主机H4，防护有效性分值提升为0.979，其他攻击路径的防护有效性也有明显提高。

策略A与策略B的对比结果表明，在DMZ区域有APT防护技术情况下，网络环境下整体的隔离与防御能力得到了明显提升，从而验证了隔离与防御新技术的防护效果。

5 结 语

在新形势、新技术下，我国电网企业网络信息安全仍面临着严峻的挑战，应当高度重视网络信息安全工作，不断发展完善信息安全防御新技术，改善网络信息安全的水平。单纯使用某种防御技术，往往已无法应对快速变化的安全防御需求，只有综合运用各种新型的攻防技术，分析其关联结果，并通过网内、网间各类安全设备、安全措施的互相配合，才能最终建立健全网络信息安全防范体系，最大限度减少恶意入侵的威胁，保障企业应用的安全、稳定运行。

参考文献

[1] 高子坤，杨海洲，王江涛.计算机网络信息安全及防护策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用，2012，8（6）：9?11.

[4] 吴迪，冯登国，连一峰，等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报，2012，23（7）：1880?18.

企业网络安全技术范文5

关键词：电力企业；信息网络技术；虚拟网络技术；应用实践

0前言

随着互联息技术的不断发展，使得原本分散、孤立的电力行业开始逐渐朝着集约化、智能化、统一化的发现发展，大大的提高了电力企业的工作效率。各级省市地级县的电力企业开始先后在企业内部建立起了现代化的信息网络[1]。但是信息化网络的发展却远远不如预期，存在众多的问题。而虚拟网络技术的出现则为解决电力企业中的信息化网络建设问题带来了新的机遇和可能，成为了电力企业信息网络建设中新的趋势。

1电力企业信息网络建设发展现状

就目前我国的电力企业信息网络技术的建设发展现状来看，还存在着一些不足，信息网络建设技术落后是主要问题。这一问题的根源是电力企业的建设重点放在实体电网建设，这就直接导致了电力企业没有对信息网络建设投入足够的人力、物力、财力资源，建设资源不充足是导致信息网络建设跟不上现代化建设步伐的主要原因[2]。此外，由于电力行业自身的特殊性，为了更好的满足人们对电力资源的需求，就不得不在一些偏远山区等地进行电网建设工作，这些地区受到自身经济条件以及技术条件等，信息网络建设工作也就迟迟得不到较大的推进。且信息网络的建设需要专业化的技术人员耗费较长的时间周期去进行，没有专业化的信息网络建设技术人员，缺乏足够的资金支持，这些都是导致电力企业无法迅速建立起完善的网络信息技术的主要原因，电力企业信息网络技术建设工作任重而道远。

2虚拟网络技术

2.1基本含义

电力企业中的虚拟网络是指在整个企业中的公共网络平台上搭建属于各部门、各单位的专属网络。虚拟网络技术（VirtualPrivateNetwork）是指在公共网络平台上，利用相关的技术手段，在这个公共平台上建立属于自己的专用网络的一种技术[3]。

2.2工作原理

虚拟网络技术在信息网络平台中的基本工作原理为，企业借助相关的隧道等技术，以公共网络这一平台为基础，而不再需要企业自身去搭建其他的建设平台，就可以从中搭建出电力企业自身的专属平台。这样，不仅为企业节省了信息平台建设的成本，而且还大大提高了网络管理的便捷性，此外借助公共网络安全性能高的优势还能够极大的提高企业虚拟网络的安全性。正是由于虚拟网络技术的这些优势，因此被越来越多的电力企业所青睐，而将其运用到自身的信息网络建设工作中去。

2.3相关技术

（1）身份认证和安保技术

一般的公共网络平台为了满足公众的使用需求，因此都缺乏对使用人员身份认证的安保技术，这一技术漏洞容易让一些不法分子乘虚而入，用不正当的方式和手段来获取电力企业中的重要信息资源，使得电力企业中存在信息泄露的风险和漏洞。而虚拟网络技术是公网中的私网，它为了提升自身的安全性能，加大对内部信息的保护力度，而在系统内设置了身份认证等相关安保技术。用户在访问电力企业的网络时必须要进行相关的身份认证，只有具备访问权限的工作人员才能够通过认证，进入到虚拟网络中，获取到相关的信息。而不具备访问权限的外部人员则就无法进入到其中去，大大提高了数据的安全性。如拨号连接、IP分配等都是常见的用户身份认证方式[4]。

（2）加密解密技术

加密解密技术是提高虚拟网络安全性的一个重要技术手段，可以使用隧道技术，在两个设备之间搭建一个专属的信息通道，两个信息端口也可以依据实际需求在自身的设备上添加加密解密选项，只有知道使用密码的相关工作人员才能够进入到信息网络中去，而将一些不法分子隔绝之外。如IPSec等就是常见的加密解密技术。

（3）隧道技术

虚拟网络技术中的关键核心技术是隧道技术，它既可以帮助两个端口之间建立起专属的信息数据通道，同时还能够对建立好的通道进行拆除，所以在虚拟网络技术中发挥着重要的作用。隧道及时可以根据使用用途的不同而分为端口到端口和点到点这两种，端口到端口主要是对已有的两个局域网进行连接，实现两个局域网之间的信息沟通；而点到点主要是用于两个电脑主机之间，在两个设备之间搭建安全通道。

3电力企业信息网络中虚拟网技术的应用

3.1虚拟网络技术的应用需要以电力企业控制软件为基础

虚拟网络技术在电力企业信息网络中的应用需要以企业原有的控制软件为基础，因此各电力企业在引进相关的虚拟网络技术的时候，应该要充分的从自身的信息网络建设实际出发，然后再结合虚拟网络的相关特性，引入合适的虚拟网络技术。如果不能够依照电力企业原有的控制软件基础，那么就很有可能会导致引入的虚拟网络不能够很好的实现与原有网络的相互融合，导致其不能够很好的发挥出自身的作用，同时还给企业增加了不必要的经济负担，造成电力企业成本的增加。

3.2虚拟网络技术的应用需要以电力企业当前的信息网络建设现状为依据

不同电力企业的信息网络建设和发展进程是大不相同的，大中型的电力企业由于其自身的资金等各方面的势力较强大，因此其信息网络建设就优于许多中小型的电力企业。所以各个电力企业在进行虚拟网络技术在信息网络中的建设工作时必须要从自身的发展建设实际出发，尽可能选择适合自身发展的虚拟网络技术，而不能够为了图先进而引入不适合自身发展的技术。此外，由于电力企业中部门较繁杂，有许多的分支机构，各部门、单位、机构的工作内容也各不相同，因此对信息的需求也就有所差异。鉴于此，在进行虚拟技术网络平台建设的时候，可以根据不同部门、机构和单位的工作特点，设置相互的信息虚拟网络平台，这样就可以极大的提高信息提供的针对性，为信息获取人员大大的节省了时间成本，同时还有效的提高了工作效率。

3.3虚拟网络技术的应用需要得到相关部门的认证

为了进一步提升电力企业的安全性和虚拟网络技术使用的规范性，有必要在电力企业内部设置规范的安全认证策略，将虚拟网络技术的使用步骤以条款的形式确认下来，以提高工作人员使用时的规范性，同时在设置加密和秘钥功能时也要符合企业实际，不能太过简单或复杂而影响到电力企业的工作效率[5]。此外，各部门、机构应该加强对虚拟网络技术使用的监督，一旦发现违规使用虚拟技术的现象必须要严加惩治，以提高工作人员的使用规范性。

3.4其他注意事项

由于不同的虚拟技术生产的虚拟网络技术性能各不相同，因此电力企业在使用的过程中会出现虚拟技术与企业的原有设备之前接触不良的问题出现，这就需要企业在购买的过程中提前对虚拟网络技术的特性进行了解，之后购买合适的产品，以提高产品的适用性。

4结语

。一方面，可以帮助电力企业更好的调配内部的资源，实现资源的合理优化配置，从而大大节省了企业成本；另一方面，虚拟网络技术有为电力企业规范化、集约化管理提供了技术支持，可以加快推动企业朝着现代化的发现发展。

参考文献：

[1]刘晓翠，王晨臣，闫娟，张晓宇.安全隔离技术在电力信息网络安全防护中的应用[J].通讯世界，2016.

[2]关兆雄，刘胜强，庞维欣.虚拟化技术在电力企业的移动生产应用研究[J].自动化与仪器仪表，2016.

[3]明星.电力信息通信中网络技术的应用剖析[J].科技经济市场，2015.

[4]李海锋.基于EPON的虚拟局域网技术在电力信息网络中的应用[J].通信电源技术，2015.

企业网络安全技术范文6

关键词：企业；网络安全；防护

中图分类号：TP393.08

随着计算机和网络技术的高速发展，网络已经成为人们生活和工作当中必不可少的一部分。大中型企业信息化建设随着网络系统的快速发展也在日新月异，网络和信息化已经融入到企业的生产和管理当中，对企业的正常运转越来越重要。随着大中型企业网络和信息化业务系统的日益增多，遭受网络安全威胁与攻击的可能性也大大增加，一旦遭受攻击导致网络和信息化系统服务异常，影响到生产的话，将会给企业造成极大的经济损失和社会负面影响。

1 企业网络安全防护的重要性和建设目标

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。网络安全的主要特性为：保密性、完整性、可用性、可控性和可审查行。

企业的网络与信息化系统应用的越多，企业对网络的依赖度就更高，目前大中型企业提高信息化发展水平已经是一种趋势，信息化的发展必然面临各种网络安全威胁，若不采取相应措施保护企业网络和信息化系统安全，则企业的网络和信息化系统将随时遭受攻击而瘫痪或崩溃，影响企业的生产秩序。

大中型企业网络所面临的严峻安全形势，使得各企业必须意识到构建完备安全体系的重要性。随着网络攻击的多样化，企业不能只针对单一方面进行网络安全防护，应该从整理着眼，建立完整的网络安全防护体系。完整的安全体系建设不仅要能有效抵御攻击，而且要能防范可能来自内部的攻击、入侵和泄密等威胁。

2 企业网络安全的隐患与危害

2.1 计算机病毒

计算机病毒出现的初期，其危害主要为删除文件数据、格式化硬盘等，但随着计算机应用和互联网技术的发展，计算机病毒通过网络进行疯狂传播，大量消耗网络资源，使企业甚至互联网网络瘫痪。

计算机病毒造成的最大破坏，不是技术方面的，而是社会方面的。计算机感染病毒后导致计算机的使用率减低，甚至导致企业、银行等关键信息泄露，造成社会声誉损失和商业风险。

2.2 黑客威胁和攻击

计算机信息网络上的黑客攻击事件越演越剧烈，目前以非法牟利为目的的黑客产业链已经成为新的暴力产业，黑客通过网络非法入侵计算机信息系统，肆意窃取信息系统里面存储的用户信息和关键数据等，给信息系统所有者和用户带来无法估计的损失。

2.3 内部威胁和攻击

企业在管理内部人员上网时，由于对内部威胁认识不足，所以没有采取全面的安全防范措施，导致内部网络安全事故逐年上升。机器都是人进行操作的，由于懒惰、粗心大意或者对设备的使用和业务不太熟练等原因，都有可能造成数据的损坏和丢失，或者企业机密信息泄露。另外还有一些企业员工，为了一己私利对企业的计算机网络系统进行攻击和破坏。不管是有意的还是偶然的，内部威胁都是一个最大的安全威胁，而且是一个很难解决的威胁。

2.4 系统漏洞

许多网络系统和应用信息系统都存在着这样那样的漏洞，这些漏洞可能是网络建设考虑不全和系统本身所有的。另外，在企业信息化应用系统建设时，由于技术方面的不足或者为了远程维护的方面导致应用系统在开发过程中存在漏洞或后门，一旦这种漏洞或后门被恶意利用，将会造成非常大的威胁。

3 企业网络安全的技术防护措施

3.1 防火墙隔离

防火墙提供如下功能：访问控制、数据包过滤、流量分析和监控、拦截阻断非法数据连接、IP连接数等。此外通过防火墙将内网、和DMZ（非军事区）区划分不同的等级域，各域之间的相互访问，达到保护内网和公共服务站点安全的目的；

3.2 VPN安全访问系统

VPN（虚拟专用网络）是在公用网络上建立专用网络的技术。VPN属于一种安全的远程访问技术，通过在公网上建立一个私有的隧道，利用加密技术对数据进行加密，保证数据的私有性和安全性。

3.3 入侵检测系统与入侵防御系统

入侵检测系统（Intrusion Detection System）是一种对网络传输进行即时监视，在发现可疑传输时发出警报网络安全设备。入侵检测系统通过对来自外部网和内部的各种行为的实时检测，及时发现未授权或异常现象以及各种可能的攻击企图，并记录有关事件，以便网管员及时采取防范措施，为事后分析提供依据。入侵检测系统采用旁路部署模式，将网络的关键路径上的数据流进行镜像和收集分析。

入侵防御系统（Intrusion Prevention System）是一种在线部署到网络关键路径上的产品，通过对流经该关键路径上的网络数据流进行2-7层的深度分析，能精确、实时的识别、阻断、各类网络攻击和泛洪攻击，进行主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断。