企业信息安全方案

企业信息安全方案（共6篇）

篇1：企业信息安全方案

企业网络信息安全解决方案

一、信息安全化定义

企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施，保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了、改不了信息，系统瘫不了、信息假不了、行为赖不了。

二、企业信息安全管理现状

当前企业在信息安全管理中普遍面临的问题：

(1)缺乏来自法律规范的推动力和约束；

(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法；

(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理；

(4)在安全管理中不够重视人的因素；(5)缺乏懂得管理的信息安全技术人员；

(6)企业安全意识不强，员工接受的教育和培训不够。

三、企业信息安全管理产品

建立完善的企业信息安全管理系统，必须内外兼修，一方面要防止外部入侵，另一方面也要防范内部人员泄密可能。所以在选择企业信息安全管理产品时，必须是一个完整的体系结构。目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：用户身份认证，如静态密码、动态密码（短信密码、动态口令牌、手机令牌）、USB KEY、IC卡、数字证书、指纹虹膜等。

防火墙

即访问控制系统，它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

安全路由器

由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

安全服务器

安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

安全管理中心

由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

入侵检测系统（IDS）

入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

入侵防御系统（IPS）

入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

安全数据库

由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

数据容灾设备

数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施，在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。

编辑本段企业信息安全管理对策 1.网络管理

一般企业网与互联网物理隔离, 因而与互联网相比, 其安全性较高, 但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题, 具体而言：

(1)在IP 资源管理方面, 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。这分两种情况实现, 第一种情况是如果客户机连在支持网管的交换机上的, 可以通过网管中心的管理软件, 对该交换机远程实施Port Security 策略, 将客户端网卡MAC 地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管, 则可以通过Web 网页调用一个程序, 通过该程序把MAC 地址和IP 地址捆绑在一起。这样, 就不会出现IP 地址被盗用而不能正常使用网络的情况。

(2)在网络流量监测方面, 可使用网络监测软件对网络传输数据协议类型进行分类统计, 查看数据、视频、语音等各种应用的利用带宽, 防止频繁进行大文件的传输, 甚至发现病毒的转移及传播方向。

2.服务器管理

常见应用服务器安装的操作系统多为Windows 系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一, 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等, 审核的对象可以是DC、Exchange Server、SQL Server、IIS 等。

在组策略实施时, 如果想使用软件限制策略, 即哪些客户不能使用哪个软件, 则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分, 系统软件备份拟利用现有的专用备份程序, 制定一个合理的备份策略, 如每周日晚上做一次完全备份, 然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。

3.客户端管理

对大多数单位的网管来说, 客户端的管理都是最头痛的问题, 只有得力的措施才能解决这个问题, 这里介绍以下几种方法:

1)将客户端都加入到域中, 这一点很重要, 因为只有这样, 客户端才能纳入管理员集中管理的范围。

2)只给用户以普通域用户的身份登录到域, 因为普通域用户不属于本地Administrators 和Power Users 组, 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作, 应通过本地安全策略, 授予他们“关机”和“修改系统时间”等权利。

3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。

5)利用SMS 对客户端进行不定期监控, 发现不正常情况及时处理。

4.数据备份与数据加密

由于应用系统的加入, 各种数据库日趋增长, 如何确保数据在发生故障或灾难性事件情况下不丢失, 是当前面临的一个难题。这里介绍四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低, 保存性最强, 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式, 两台机器系统相互备份, 应用层数据全部放在共享的磁盘阵列柜中, 这种方式能解决单机故障或宕机的问题, 同时又能防止单个硬盘故障导致的数据丢失, 但前期投资较大。第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储, 实现较高级别的磁盘等硬件故障的数据备份, 但是成本较高, 一般不能防止系统层的故障, 如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况, 如物理地“取走”数据库, 在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密, 即以加密格式存储和传输敏感数据。发送方用加密密钥, 通过加密设备或算法, 将信息加密后发送出去。接收方在收到密文后, 用解密密钥将密文解密, 恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文, 从而对信息起到保密作用。

5.病毒防治

对防病毒软件的要求是: 能支持多种平台, 至少是在Windows 系列操作系统上都能运行;能提供中心管理工具, 对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面, 可通过服务器直接进行分发, 尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中, 本单位以一台服务器作为中央控制一级服务器, 实现对网络中所有计算机的保护和监控, 并使用其中有效的管理功能, 如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下, 一级服务器病毒代码库升级后半分钟内, 客户端的病毒代码库也进行了同步更新。

四、企业网络、信息安全解决方案 1）大型企业

大型企业部门林立，相当一部分会在外地有分支机构，业务系统普遍采用建设虚拟专网的方式，起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署，比如防火墙，可以把企业访问互联网的风险降低，但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有意、无意的操作行为，致使业务系统不能正常使用，或者机密数据外泄，对企业的网络安全，信息保密造成很大的威胁，拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患，保障业务系统的政策正常安全运行和企业机密数据的安全。

建议大型企业在网络中部署：防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。

2）中型企业

中型企业基本已具备完整的网络体系，但是企业的信息化技术力量相对大型企业可能薄弱一点，对于员工的上网行为和电脑操作行为可能要求得不会太严格，即使向员工制定了一定的管理制度，也会在制度的执行过程中因为人为的因素而变成一纸空文，所以用硬件设备来保障和规范网络、信息的安全尤为重要，中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。

建议中型企业部署：防火墙、IDS、路由器、上网行为管理、防泄密系统等。

3）小型企业

小型企业在人员规模、基础建设、资金实力等方面都相对落后于大中型企业，但是在发展阶段的小型企业，对网络、信息的安全问题同样不能忽视，目前各式各样的聊天工具、视频网站、网游、P2P下载等，都会直接影响到员工的工作效率，并且占用了大部分的带宽，使得业务系统和正常的工作无法得到保障，且小型企业一般不会配置专业的网管人员，这就是有的小型企业配置了好的电脑，够用的宽带，但是仍然有大部分员工一直抱怨总是不能上网，或者上网太慢，邮件发不出去等问题。从综合实力来讲，小型企业在网络、信息安全方面的投入会比较有限，建议企业配置中低端的安全设备，防火墙，上网行为管理，以研发和设计为主的企业对于防泄密系统的部署还是有必要的。

篇2：企业信息安全方案

【摘要】在飞速发展的互联网时代，企业的信息安全尤为重要，短时间的网络中断或者部分的信息泄露，就会给企业造成巨大的损失。为避免信息安全问题的发生，我们应该从企业需求分析，考虑多方面的防护，根据需求采取各种措施，设计多种解决方案，从软件到硬件对企业的信息化网络进行防护，杜绝或减少信息化安全给企业带来的损失。

【关键词】信息安全；网络安全；安全防护；

前言

在日常的企业办公中，总部和各分公司以及出差的员工都需要实时地进行资源共享和信息传输，企业和企业之间的业务来往也是非常依赖于网络。但是由于互联网的通信协议原始设计的局限性和互联网的开放性，信息采用明文传输，导致互联网的安全性问题越来越严重，网络攻击、非法访问、窃取信息等不断发生，给企业的正常运行带来严重的安全隐患，有时会造成巨大的损失。网络攻击，会造成企业的服务器瘫痪；信息窃取，会造成企业的商业机密泄漏，内部服务器被非法访问，会破坏传输信息的完整性或者被假冒；网络病毒，会造成整个公司的服务器被病毒感染，使得公司网络陷入瘫痪，造成公司系统的崩溃。目前的现状是信息和网络技术发展迅速，信息的安全技术相对滞后，用户在引入安全设备和系统时，有些是缺乏培训和学习，有些是对信息安全的重要性与技术认识不足，最终致使安全设备系统没有能够使其发挥最大的作用。比如对某些通信和操作需要限制，管理员没有意识到或是为了方便，设置成全开放状态等等，造成了网络漏洞。

1.企业安全需求分析

根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑

1.1网络传输保护：主要是数据加密，防窃听保护。

1.2密码账户信息保护：对网络银行和客户信息进行保护，防止泄露。

1.3网络的病毒防护：采用网络防病毒系统，对网内一些可能携带病毒的设备定期进行防护与查杀。

1.4侵检测系统：广域网接入部分设置入侵检测系统。

1.5系统漏洞的分析：安装漏洞分析软件和设备。

2.具体措施

2.1重要数据备份：重要数据信息一定做到定期备份

2.2网络安全结构可伸缩性：安全设备的可伸缩性，能根据需要随时进行功能、规模的扩展。

2.3安全审计：主要包括内容审计和网络通信审计

2.4网络设备防雷：埋设地线，做好防雷设施布控。

2.5重要信息点的防电磁泄露：安装好屏蔽设施设备，3.安全解决方案

3.1物理安全和运行安全

企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故，以及人为操作失误或错误，及各种计算机犯罪行为导致的破坏过程。企业的运行安全即计算机与网络设备运行过程中的系统安全，是指对网络与信息系统的运行过程和运行状态的保护。主要的保护方式有风险分析与漏洞扫描、防火墙与物理隔离、病毒防治、访问控制、安全审计、源路由过滤、数据备份、入侵检测等。

3.2选择和购买安全硬件和软件产品

3.2.1硬件产品主要是防火墙的选购。

对于防火墙的选购要具备明确防火墙保护对象和需求的安全等级、根据安全级别确定防火墙的安全标准、选用功能适中且能扩展和安全有保障的防火墙、能满足不同平台需求，并可集成于网络设备中、应能提供良好地售后服务的产品等要求。

3.2.2软件产品主要是杀毒软件的选择。

本方案中在选择杀毒软件时应当注意几个方面的要求：具有优秀的病毒防治技术、程序内核安全可靠、有对付国产和国外病毒的能力、系统资源占用低，性能优越、易管理和使用、集成度高、可调控系统资源的占用率、有便捷的网络化自动升级等优点。

3.2.3网络规划与子网划分组网规则。

规划网络要规划到未来的三到六年。并且在未来，企业的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构，星形连接在用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出，所以选择星形网络最好。

3.2.4网络隔离与访问控制。

网络安全是一个综合的系统工程，是由许多因素决定的，仅仅采用高档的安全产品并不能解决全部问题，对安全设备的管理要求也是非常高的。如果安全产品在管理上是各自管理，很容易因为某个设备的设置不当，造成整个网络出现重大安全隐患。技术员不够专业，上述现象就会更加容易出现；具体企业的维护人员的水平也有差异，配置的差异容易造成错误进而使网络中断。所以，选择安全设备就应当尽量选择可以进行网络化集中管理的设备，这样集成化管理的设备由少量的专业人员对其进行管理、配置，会成倍的提高整体网络的安全性和稳定性。

3.2.5操作系统安全增强。

企业各级网络系统平台的安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患，因此要加强对系统后门程序的管理，对一些可能被利用的后门程序要及时进行系统的补丁升级。

3.2.6应用系统安全。

企业应用的系统安全，首先包括用户进入系统的身份鉴别与控制，使用网络各种资源的权限管理和访问控制，涉及到安全相关的操作一定要进行审计等。用户按等级分类，分为各级管理员用户和各类业务用户。数据库系统、E-MAIL服务、WWW服务、VPN、FTP和TELNET应用中服务器系统自身的安全非常重要，这些系统提供安全的服务也非常重要。本方案中，应用漏洞扫描设备对网络系统进行定期扫描，对存在的网络漏洞、系统漏洞、操作系统漏洞、应用程序漏洞、等进行探测、扫描，发现漏洞及时告警，自动提供解决措施或给出参考意见，及时提醒网络安全管理员作好相应调整。

3.2.7重点主机防护。

为重点主机，堡垒机建立主机防御系统，对于一些重要的资源，我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限，只允许已知的合法的应用程序访问这些资源。

3.2.8连接与传输安全。

由于企业中心内部网络存在两套网络系统，其中一套为企业对内网，内网主要运行的是内部办公、业务系统，生产系统等；另一套是外网与INTERNET相连，通常是通过宽带接入，与企业系统内部的上、下级机构网络相连。跨越INTERNET通过公共线路建立的企业集团内部局域网，通过网络进行信息共享、数据交换。INTERNET本身就缺乏有效的安全保护，信息传输过程中如果不采取相应的安全措施，非常容易受到网络上其他主机的监听而造成重要信息的泄密或被非法篡改的严重后果。所以在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。这样就能有效地避免数据传输过程中面临的安全威胁。

4.结束语

篇3：企业网信息安全建设方案

随着科学技术的高速发展,工业化社会正步向信息型社会,企业资源也由资本转变为信息、知识和能力,市场需求瞬间万变,企业竞争最关键的问题是及时满足客户的需求,甚至了解客户超过了解自己;企业要适应市场、满足客户需求,在世界经济一体化的大潮中立于不败,就必须加大信息化的力度,做精、做实企业内部的信息管理,并依据信息化的要求,完成企业内部的重组,使企业能在当今的竞争中立于不败,并求得更大的发展。

2. 峄化公司网络现状

目前,峄化公司仅少部分计算机接入了互联网,无任何安全防护措施,无法对网络进行管理;公司内部无OA、电子邮件等生产办公应用系统,大部分计算机还处于单机运行状态,无法共享集团公司ERP、短信、网站、医保、工业自动化等系统资源,形成信息孤岛,给公司的生产、办公、管理、信息发布造成极大不便;作为煤化公司下属单位之一,峄化公司现有信息网络不能满足煤化公司ERP系统联网需求。

3. 系统设计目标及原则

3.1 设计目标

峄化公司信息化建设的目标:实现公司内部数据网络互联;实现与集团公司信息资源共享;建设互联网统一出口,实现安全接入;满足煤化公司ERP系统联网需求。

3.2 设计原则

兖矿集团峄化公司信息化建设作为集团公司信息化的一个组成部分,必须与兖矿集团公司信息化设计保持一致,统一标准,统一规划。同时本设计遵循可靠性、安全性、先进性、实用性、可扩展性的基本原则。

4. 系统设计

4.1、光纤路由设计

如图1所示,共设置党群楼中心机房、电修车间、大学生北公寓楼、热电车间4个光缆汇接点。从中心机房敷设48芯的光缆至电修车间,敷设24芯的光缆至热电车间,分别敷设6芯光缆至行政楼、生产楼、化机厂等节点。从电修车间分别敷设24芯光缆至大学生北公寓楼和供水站,分别敷设6芯光缆至质检车间、压缩车间、合成车间等节点,同时,至集团公司总部的24芯光缆汇接于此。

从大学生北公寓楼分别敷设6芯光缆至经营楼、档案室、工程部等节点。从热电车间分别敷设6芯光缆至包装车间、原料车间、车队等节点。厂服中心、曙园、净化车间等小于100米的短距节点采用网线连接。

4.2 网络设计

4.2.1、网络结构

峄化公司数据网络采用星型拓扑结构,中心机房安装一台H3C S5500-52C-EI核心交换机,提供4个千兆光口、48个千兆/百兆电口;行政楼、大学生北公寓楼分别安装一台H3C S3600-28P-EI交换机,分别提供2个千兆光口、24个百兆电口;生产楼、电修车间、热电车间等节点安装H3C S3100-26TP-EI交换机,提供24个百兆口。

核心交换机划分业务vlan,配置路由协议,使用一个千兆端口与集团公司总部互联,使用2个千兆端口分别与行政楼、大学生北公寓楼互联,使用百兆端口通过光电收发器分别与生产楼、电修车间、热电车间等互联。

4.2.2、机房监控系统

机房监控系统包括环境及动力量监控系统和视频监控系统。环境量监控包括机房温度、湿度、门磁、水浸、空调开关状态等。动力量监控包括UPS参数、机房市电有无等量。峄化公司机房监控系统接入兖矿信息中心现有机房监控平台,实现了机房环境量及动力量的实时监控。峄山化工机房人员经过授权,就可通过IE浏览器登录,查看机房环境量实际情况。

5. 企业网的安全

为了确保网络安全能为信息化进一步的建设提供可靠的安全保护,重点在几个方面加以优化。

(1)网内服务器和工作站均应统一安装防病毒和防攻击软件,并使其处于最新版本,关键业务计算机还应安装隔离卡以确保数据安全。

(2)在工控网和办公网之间增加安全隔离设备,严格禁止外网用户直接访问工控网内部工作站。

(3)安全评估。网络安全评估主要是对网络中的各种系统、设备和数据库进行漏洞扫描,找出整个网络系统中最容易受到攻击的环节,对公司数据网的安全进行有效的评估。通过定期开展风险评估工作,能够及时发现、消除网络中存在的安全隐患和新出现的安全漏洞,能够准确、及时地掌握现阶段整个网络节点的网络安全现状,能够有效增强网络对越来越多的各种网络安全威胁和突发性安全事件的抵御能力。

6. 总结

通过峄化公司企业局域网的建设和投入使用,结束了公司计算机单机运行状态,为以后OA系统、电子邮件等生产办公应用系统,共享兖矿集团公司ERP、短信、网站、医保、工业自动化等系统资源,提供了网络平台;通过兖矿集团公司出口接入因特网,为峄化公司的生产、办公、管理、信息发布提供了极大的方便,并能充分共享因特网上的信息资源;通过对信息资源的深化开发和广泛利用,实现产品设计信息化、生产过程信息化、产品服务、销售信息化、经营管理信息化、决策信息化,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和企业竞争力。

参考文献

[1]徐志坚.信息系统与公司竞争[M].北京:科学出版社,2002

[2]李崇超.信息化是中小企业发展的战略选择[J].中国乡镇企业会计,2006.

[3]刘满城.论企业管理信息系统建设的问题与对策.商业现代化,2006.

篇4：中小企业信息安全整体方案

【关键词】信息安全；网络安全；安全防护；

前言

1.企业安全需求分析

根据企业网络现状及发展趋势，对信息的保护方式进行安全需求分析主要从以下几个方面进行考虑

1.1网络传输保护：主要是数据加密，防窃听保护。

1.2密码账户信息保护：对网络银行和客户信息进行保护，防止泄露。

1.3网络的病毒防护：采用网络防病毒系统，对网内一些可能携带病毒的设备定期进行防护与查杀。

1.4侵检测系统：广域网接入部分设置入侵检测系统。

1.5系统漏洞的分析：安装漏洞分析软件和设备。

2.具体措施

2.1重要数据备份：重要数据信息一定做到定期备份

2.2网络安全结构可伸缩性：安全设备的可伸缩性，能根据需要随时进行功能、规模的扩展。

2.3安全审计：主要包括内容审计和网络通信审计

2.4网络设备防雷：埋设地线，做好防雷设施布控。

2.5重要信息点的防电磁泄露：安装好屏蔽设施设备，

3.安全解决方案

3.1物理安全和运行安全

3.2选择和购买安全硬件和软件产品

3.2.1硬件产品主要是防火墙的选购。

3.2.2软件产品主要是杀毒软件的选择。

3.2.3网络规划与子网划分组网规则。

3.2.4网络隔离与访问控制。

3.2.5操作系统安全增强。

3.2.6应用系统安全。

3.2.7重点主机防护。

3.2.8连接与传输安全。

4.结束语

篇5：企业信息安全方案

问，人员管理），电子商务安全（密钥，PKI），或者其它！

【为保护隐私，公司原名用XX代替。

内容涉及企业网络安全防护，入侵检测，VPN加密、数据安全、用户认证等企业信息安全案例，供参考】

XX企业信息安全综合解决方案设计

一．引言

随着全球信息化及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业越来越多，并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等，企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题，这就使得网络安全成了企业信息化建设中一个永恒的话题。

目前企业信息化的安全威胁主要来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失呢？

二． XX企业需求分析

该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。

1.外部网络的安全威胁

企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。

2.内部局域网的安全威胁

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括：误用和滥用关键、敏感数据；内部人员故意泄漏内部网络的网络结构；内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。

3.网络设备的安全隐患

网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。

二、操作系统的安全风险分析

所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考虑，其表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。

目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的，这需要相当高的技术水平及相当长时间。

三、应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

文件服务器的安全风险：办公网络应用通常是共享网络资源。可能存在着员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

数据库服务器的安全风险：内网服务区部署着大量的服务器作为数据库服务器，在其上运行数据库系统软件，主要提供数据存储服务。数据库服务器的安全风险包括：非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外（硬件问题或软件崩溃）而导致不可恢复，也是需要考虑的安全问题。病毒侵害的安全风险：网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

数据信息的安全风险：数据安全对企业来说尤其重要，数据在公网线路上传输，很难保证在传输过程中不被非法窃取、篡改。现今很多先进技术，黑客或一些企业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息，也就造成的泄密。

四、管理的安全分析

管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术下功夫外，还得依靠安全管理来实现。

三． XX企业方案设计

该企业信息安全防护方案和策略主要由以下各部分组成:

1.Internet安全接入

采用PIX515作为外部边缘防火墙，其内部用户登录互联网时经过NetEye防火墙，再由PIX映射到互联网。PIX与NetEye之间形成了DMZ区，需要提供互联网服务的邮件服务器、Web 服务器等防止在该DMZ区内。该防火墙安全策略如下:

(1)从Internet上只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口;

(2)从Internet和DMZ区不能访问内部网任何资源;

(3)从Internet访问内部网资源只能通过VPN系统进行。

为了防止病毒从Internet进入内部网，该企业在DMZ区部署了网关防病毒系统。采用Symantec Web Security 3.0防病毒系统，对来自互联网的网页内容和附件等信息设定了合理的过滤规则，阻断来自互联网的各种病毒。

2.防火墙访问控制;

PIX防火墙提供PAT服务，配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接，并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。

NetEye防火墙处于内部网络与DMZ区之间，它允许内网所有主机能够访问DMZ区，但DMZ区进入内网的流量则进行严格的过滤

3.用户认证系统;

用户认证系统主要用于解决电话拨号和VPN接入的安全问题，它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。

采用思科的ACS用户认证系统。在主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。拨号用户和VPN用户身份认证在Radius服务器上进行，用户账号集中在主域服务器上开设。系统中设置了严格的用户访问策略和口令策略，强制用户定期更改口令。同时配置了一台VPN日志服务器，记录所有VPN用户的访问，而拨号用户的访问则记录在Radius服务器中，作为系统审计的依据。系统管理员可以根据需要制定用户身份认证策略。

4.入侵检测系统;

在系统中关键的部位安装基于网络的入侵检测系统，可以使得系统管理员能够实时监控网络中发生的安全事件，并能及时做出响应。

根据该企业网络应用的情况，可在互联网流量汇聚的交换机处部署一套CA eTrust

Intrusion Detection，它可实时监控内部网中发生的安全事件，使得管理员及时做出反应，并可记录内部用户对Internet的访问，管理者可审计Internet接入平台是否被滥用。当冲击波病毒爆发时，该系统能够显示出哪些主机感染了病毒而不停地向其他网络主机发出广播包。

企业的网络管理员可以根据实际应用环境对IDS进行详细配置，并在实践中根据需要随时调整配置参数。

5，网络防病毒系统;

该企业全面地布置防病毒系统，包括客户机、文件服务器、邮件服务器和OA服务器。该企业采用McAfee TVD防病毒系统保护客户机和文件服务器的安全，客户机每天定时从McAfee服务器通过FTP方式下载并安装最新的病毒代码库。

该企业电子邮件系统运行在Domino平台上，采用了McAfee针对Domino数据库的病毒过滤模块，对发送和接手的邮件附件进行病毒扫描和隔离。

6.VPN加密系统;

该企业通过PIX防火墙建立了基于IPSec国际标准协议的虚拟专网VPN，采用3DEC加密算法实现了信息在互联网上的安全传输。

VPN系统主要用于该企业移动办公的员工提供互联网访问企业内网OA系统，同时为企业内网ERP用户访问大股东集团公司的SAP系统提供VPN加密连接。

7.网络设备及服务器加固;

该企业网络管理员定期对各种网络设备和主机进行安全性扫描和渗透测试，及时发现漏洞并采取补救措施。

安全性扫描主要是利用一些扫描工具，包括Retina、X-Scan、SuperScan、LanGuard等，模拟黑客的方法和手段，以匿名身份接入网络，对网络设备和主机进行扫描并进行分析，目的是发现系统存在的各种漏洞。

进行渗透测试时，网络管理员预先假设攻击者来自用户内部网，该攻击者在内部网以匿名身份接入网络，起初不具备进入任何系统的权限。通过利用扫描阶段发现的系统中的安全漏洞，以黑客使用的手段对系统进行模拟攻击，最大限度地得到系统的控制权。例如，利用Unix系统的/bin/login ,无需任何身份验证即可远程非法登录漏洞以及priocntl系统调用漏洞，通过缓冲溢出进入系统后进行权限提升，即可获得Root权限。

根据安全扫描和渗透测试的结果，网络管理员即可有针对性地进行系统加固，具体加固措施包括:

(1)关闭不必要的网络端口;

(2)视网络应用情况禁用ICMP、SNMP等协议;

(3)安装最新系统安全补丁;

(4)采用SSH而不是Telnet进行远程登录;

(5)调整本地安全策略，禁用不需要的系统缺省服务;

(6)启用系统安全审计日志。

以上措施主要用于防范系统中的非法扫描、利用系统漏洞进行缓冲区溢出攻击、拒绝服务攻击、非法远程登录等黑客攻击行为。

8.桌面电脑安全管理系统;

该企业采用LANDesk安全管理套件系统来加强对桌面电脑的安全管理。该系统主要具有如下功能:

补丁管理是LAN-Desk系统的主要功能之一，主要用于修复桌面电脑系统漏洞，避免蠕虫病毒、黑客攻击和木马程序等。

LANDesk补丁管理器能够高效地实现安全补丁管理。补丁程序能够从全球统一的补丁管理服务器自动下载，并自动分发到每台桌面电脑，无需IT人员干预。补丁程序在分发安装前，都经过本地服务器的测试，从而确保补丁自身的安全性，避免损坏用户系统。

由于LANDesk采用全自动补丁分发方式，大大减轻了管理员的负荷，而更重要的是能够及时发现操作系统的漏洞并第一时间自动进行修补，从而有效地保护OA用户的电脑免受破坏。

间谍软件检测基于LAN-Desk随时更新的集中化安全管理核心数据库，该系统能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。

安全威胁分析 LANDesk提供自动的威胁分析功能，它能够自动检测桌面电脑的配置风险，包括共享、口令、浏览器等安全问题，并自动进行修补或提出修改建议。

应用程序阻止用户随意安装的游戏等应用程序可能导致系统紊乱、冲突，影响正常办公。LANDesk提供的应用程序管理功能可以通过远程执行指令，阻止有关应用程序的运行。设备访问控制 LANDesk通过硬件级别的管理功能，可以对用户电脑的硬件采用适当的访问控制策略，限制对网络、驱动器、通信端口、USB和无线频道的访问，防止关键数据丢失和未授权访问。

IT资产管理对该企业所有上网电脑进行在线管理。该系统能够自动扫描在线电脑的配置信息，包括硬件配置、软件配置的详细信息，如生产厂家、型号、产品序列号、组件参数、IP地址、操作系统类型、应用程序安装情况等等，并可进行分类、根据需要形成不同报表。

9.数据备份系统

该企业采用HP 1/8磁带自动装载机对企业数据进行备份，该磁带库可以同时装载9盒磁带，能够根据预先定义好的备份策略自动装载磁带，自动执行定义好的备份策略，压缩后最大存储容量为640GB。备份软件采用Legato NetWorker网络备份管理系统。该系统运行稳定，备份和恢复效果较好。

10.网络安全制度建设及人员安全意识教育

该企业主要开展以下工作:

(1)开展计算机安全意识教育和培训，如不要随意到网上下载软件、不要打开不明邮件附件等等，并加强计算机安全检查，以此提高最终用户对计算机安全的重视程度。

(2)为总部及各分支机构的系统管理员提供信息系统安全方面的专业培训，提高处理计算机系统安全问题的能力。

篇6：信息安全整改方案

为深入贯彻落实市网络与信息安全协调小组办公室《关于加强网络与信息安全整改工作的通知》(东信安办发〔2014〕4号)文件精神，保障县政府门户网站安全运行，针对我县政府网站存在的问题，我们采取软硬件升级、漏洞修补、加强管理等措施，从三个方面做好了政府网站网络与信息安全工作。

一、对网站漏洞及时进行修补完善

接到省电子产品监督检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后，我们详细研究分析了报告资料，及时联系了网站开发公司，对网站存在的SQL注入高危漏洞进行了修补完善，并在网站服务器上加装安全监控软件，使我县政府网站减少了可能存在的漏洞风险，降低了数据库被注入修改的可能性。

二、加强对硬件安全防护设备的升级

为确保网站安全运行范文写作，20，我们新上了安全网关(SG)和WEB应用防护系统(WAF)，安全网关采用先进的多核CPU硬件构架，同时集成了防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、资料过滤等多种功能模块，实现了立体化、全方位的保护网络安全;绿盟WEB应用防护系统能够对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为，供给完善的防护措施。同时，针对WEB应用漏洞数量多、变化快、个性化的特点，我们还定期对WEB应用防护系统进行软件升级，安装了补丁程序，保护了服务器上的网站安全。自安装硬件安全防护设备以来，网站没出现任何安全性问题。

三、继续加强对政府网站的安全管理

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处