企业的网络安全范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇企业的网络安全范例，将为您的写作提供有力的支持和灵感！

篇1

    随着互联网技术的发展，在企业中运用计算机网络进行各项工作更加的深入和普及，通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务，冲破了人与人之间在时间和空间分隔的制约，越来越被更多的人们所接受和应用。然而由于企业网络自身的特点，使安全问题在企业网络的运行与管理中格外突出，研究构建、完善基于企业网的信息安全体系，对企业网安全问题的解决具有重要意义。

一、企业网络安全风险状况概述

   企业网络是在企业范围内，在一定的思想和理论指导下，为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加，如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样，企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在”重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，企业网络在企业的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题，解决网络安全问题刻不容缓，并且逐渐引起了各方面的重视。

    由于Internet上存在各种各样不可预知的风险，网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺，很少考虑实际存在的风险和低效率，很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

    因此，在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对网络通讯进行有效的过滤，使必要的服务请求到达主机，对不必要的访问请求加以拒绝。

二、企业网络安全体系结构的设计与构建

    网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系，是动态加静态的防御，是被动加主动的防御甚至抗击，是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题，需要有一个科学、系统、全面的网络安全结构体系。

（一）企业网络安全系统设计目标

    企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制，网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。

（二） 企业网防火墙的部署

    1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务，除非是必须的服务才被允许。

   2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙，在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信以保证内网安全)，与内网和外网间进行隔离，内网口连接企业网，外网口通过电信网络与互联网连接。

    3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵，在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统，与防火墙并行的接入网络中，监测来自互联网、企业网内部的攻击行为。发现入侵行为时，及时通知防火墙阻断攻击源。

    4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术，首先满足企业网最迫切的安全需求，所涉及到的安全内容有:

①满足设备物理安全

②VLAN与IP地址的规划与实施

③制定相关安全策略

④内外网隔离与访问控制

⑤内网自身病毒防护

⑥系统自身安全

⑦相关制度的完善

  第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下，全面实现整个企业网络的安全需求。所涉及的安全内容有:

①入侵检测与保护

②身份认证与安全审计

③流量控制

④内外网病毒防护与控制

⑤动态调整安全策略

  第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。

     在上述分析、比较基础上，我们利用现有的各种网络安全技术，结合企业网的特点，依据设计、构建的企业网络安全体系，成功构建了如图4-1的企业网络安全解决方案，对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。 

 

篇2

1 引言

在当今网络化的世界中，计算机信息和资源很容易遭到各方面的攻击。一方面，来源于Internet，Internet给企业网带来成熟的应用技术的同时，也把固有的安全问题带给了企业网；另一方面，来源于企业内部，因为是企业内部的网络，主要针对企业内部的人员和企业内部的信息资源。不论是外部网还是内部网的网络都会遇到安全的问题。随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了各种网络安全技术的蓬勃发展。

2 企业网络安全的主要技术

网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，现阶段对企业网络安全的主要技术进行如下探讨：

2.1 VLAN(虚拟局域网)技术

选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络，它依赖用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量，防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息。

2.2 网络分段

企业网大多采用以广播为基础的以太网，任何两个节点之间的通信数据包，可以被处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。

2.3 虚拟专用网（VPN）技术

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。VPN隧道机制具有不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等，确保了数据传输的安全性、保密性和完整性。

2.4 网络访问控制

企业应该为每位员工分配一个账号，并根据其应用范围，分配相应的权限，严格控制哪些用户可以获取哪些网络资源，保证网络资源不被非法使用和访问。

2.5 防火墙技术

任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络，防止Internet上的不安全因素蔓延到局域网内部。

2.6 网络病毒的防范

在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。应该使用针对网络、网关、邮件、终端等全方位的防病毒产品，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。

2.7 采用入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动的目的，以保护系统的安全。

2.8 漏洞扫描系统

解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。应该寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

2.9 网络安全管理规范

网络安全技术的解决方案必须依赖安全管理规范的支持， 在网络安全中，除采用技术措施之外，加强网络的安全管理，制定有关的规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

3 结束语

安全是企业网络赖以生存的保障，只有安全得到保障，企业网络才能实现自身的价值。网络安全是一个系统的工程，需要仔细考虑系统的安全需求，并将各种安全技术结合在一起，才能生成一个高效、通用、安全的网络系统。

参考文献

篇3

1 前言

在网络技术高速发展的今天，企业对网络的依赖也正在加强。但现在的网络的安全性却无法得到保障，经常有网络资源与技术成果被盗用的情况，损害了企业的利益。本文将针对企业网络安全防御体系的建立进行分析和研究，包括网络系统分析、安全需求分析、网络结构的搭建。首先是网络环境分析，通过对企业内部环境防范体系进行分析，找出自身漏洞，外部环境从网络病毒入手分析等。其次针对网络的漏洞，设计出一套适合企业的防范体系，从而可以更好的保护企业信息资源不被泄漏。并采取防火墙技术及配置、杀毒软件进行查毒、防毒、文件备份系统的实施，对企业网络进行全面管理。

2 网络环境分析

内部网络通常可以按照功能性划分为：内网区域、服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分成多个网段，包括：设计子网、服务器子网、财务子网、办公子网等。

随着企业对外业务的扩展，网络安全风险变得更加严重和复杂。计算机病毒入侵引起的损害可能传播到整个系统，引起大范围的瘫痪和资料丢失；另外对网络管控意识的不足和对Internet安全性认识的不够，导致网络风险日趋严重。

系统漏洞对企业网络造成威胁。系统漏洞并不是病毒，它是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

通过对企业内外部网络环境分析，指出入侵检测、病毒防护、数据安全保护、数据备份与恢复、修补系统漏洞等主要问题。应该建立一套完整可行的网络安全与网络管理策略，将内部网络、服务器网络和外网进行有效隔离，避免与外部网络的直接通信；对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝；加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；全面监视对服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为；加强对各种访问的审计工作，详细记录对网络的访问行为，形成完整的系统日志；强化系统备份，实现系统快速恢复，加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。

3 防范体系分析

网络攻击通常利用系统刚暴露出来的漏洞进行攻击，其目的是使目标系统瘫痪甚至整个网络。因此，只有从网络的全局考虑，在网间基础设施的各个层面上采取应对措施，包括在局域网层面上采用特殊措施，及在网络传输层面上进行必要的安全设置。

3.1 安全方案设计原则

安全方案的设计应遵循整体性原则、均衡性原则、等级性原则、易操作性原则、技术与管理相结合原则、统筹规划，分步实施原则、可评价性原则、多重保护原则。

3.2 网络安全体系结构

通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标。不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，将安全防范体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。

4 防御体系解决方案

安全部署中我们要从网络防病毒技术、防火墙技术、入侵检测技术进行考虑。首先在企业网络所有服务器和客户端部署防病毒系统。通过防病毒系统的统一部署，可以防止病毒的感染和传播。防止计算机瘫痪、网络阻塞等安全问题。其次通过防火墙设备进行网络隔离，限制来自多种协议的病毒攻击，减少网络和主机受攻击的风险。最后在中心机房的核心交换机上安装一台硬件入侵检测设备，在核心交换区域进行实时监控网络上和主机上的事件。通过比对病毒库中的病毒特征可有效的防止大多数的入侵和异常访问。审计功能是入侵检测和访问控制机制为系统提供的最好的保护，能够记录下操作的痕迹，可有效的对企图破坏系统的内部员工追究责任。

4.1 防病毒平台

在企业内部搭建防病毒平台是为保障内部网络中的计算机终端、服务器等不被病毒侵袭。为了保证防病毒系统能够正常稳定的运行，需要搭建一台专用的防病毒服务器。在安装防病毒服务器之前要做好网络规划，否则更换服务器地址时会导致无法连接到父服务器。如需更换服务器，应确保服务器机器名、IP地址、防病毒服务器组名一致。在服务器端安装防病毒软件，在客户端直接安装或通过域下发的方式安装客户端软件。网络管理员可以远程管理网络中的任何一台计算机中的杀毒软件。

4.2 防火墙

防火墙是一道阻止网络威胁的屏障，更像是一扇双向开的“门”，它控制着安全网络和不安全网络之间的通信。防火墙通过监控、限制、更改数据流，达到保护网络系统不受来自内部、外部的攻击。防火墙是网络安全的基础，负责网络间的安全认证与传输，随着网络技术的发展防火墙技术也开始在其他安全层次中应用，除了过滤任务，还能为各种网络应用提供相应的安全服务。通过以防火墙为中心的安全方案配置，能将口令、加密、身份认证、审计等安全软件配置在防火墙上。与将这些安全软件安装在不同的服务器上相比，防火墙体现了集中管理的特性，同时也降低了网络建设的成本。防火墙的主要功能是强制执行网络的安全策略，对经过防火墙的访问做出日志记录、统计数据。当发现网络异常，防火墙进行报警并提供监测到的攻击行为的详细信息。

4.3 入侵检测

入侵检测系统能够捕捉、记录网络上的所有数据，能够分析网络数据并提炼出可疑的、异常的网络数据，对入侵行为自动阻断连接、关闭通路。入侵检测系统通常是与防火墙配合使用，它不像路由器、防火墙等处于系统中的关键路径，发生故障不会影响正常业务的运行。入侵检测系统也会出现监测范围的局限问题，只能检查与它直接连接网段的通信，不能检测在不同网段的网络包。防火墙对通讯数据的源、目的地址和端口进行限制，而黑客会通过其提供服务打开的端口进行攻击。此时需要入侵检测系统实时检测恶意访问或攻击，从而将入侵活动对系统的破坏减到最低。

4.4 文件备份系统

篇4

1引言

IPSecVNP作为一种主流网络安全技术已经发展了多年，无论是目前流行的正在使用的IPv4网络还是发展中的IPv6网络，无论是移动办公还是局域网间通讯，都在大量使用IPSecVNP作为网络安全通讯基础设备。本论文通过研究IPSec协议族，实现了一个较为完整的IPSecVNP系统。包括客户端、服务器端软硬件设计和实现、网络配置及内嵌以管理等。还解决了IPSec协议通过CBAC防火墙问题。

2 IPSecVPN系统设计

本文实现了IPSecVNP系统的功能，满足了政府、金融行业和企事业单位低成本安全通讯的需求，可以按照客户实际需要的VPN系统进行安装部署、调试维护。IPSecVPN的主要作用是采用加密、认证等方式保护网络通信的安全性、私密性、可认证性和完整性。

IPSecVNP网关作为IPSecVNP系统中主要的设备，担负大部分计算任务，两台以上IPSecVNP网关就可以搭建IPSecVPN系统的基本框架。IPSec移动客户端（easyVPN）是专为单台主机或便携式电脑设计的，目的是使其拥有与IPSecVPN网关保护的局域网络通信的能力。如图1所示。

IPSecVPN网关工作在本地局域网及与其通信的远程局域网的网关位置，具有加密和认证功能，使用互联网作为信道。通过IPSecVPN网关的加密能力确保信息在不安全的互联网上以密文形式传输。数据校验功能确保了即便信息被截取，也无法窥视、篡改通讯内容。

IPSecVPN实现的总体结构分为IPSec输入输出处理、SPD和SAD策略管理、IKE密钥交换、加密算法和认证算法、NAT兼容等模块。其中IPSec安全协议的处理是数据处理的核心，策略管理模块提供IPSec处理策略，IKE密钥交换模块用于通讯双方SA协商，加密算法和认证算法模块是安全通讯基础，NAT兼容提供复杂网络环境下IPSecVPN应用的解决方法。

在用户层提供手工注入SA和IKE动态协商SA程序。用一个IKE守护进程监听动态协商请求，并进行相应的协商处理。策略系统实现存储、管理及验证策略。并提供用户层操作到内核的接口Pfkey Sockets（手工注入SA和利用IKE动态协商SA的接口及SAD与SPD的接口）。在内核中除实现与用户的接口外，还将实现SAD，SPD的管理、IPSec协议进入/外出处理及认证加密算法。IPSec协议处理部分建议采用IP+IPSec方案。这样会进一步加快IPSec的处理速度。

3 IPSecVPN穿越防火墙设计

前提：A、B、C三台cisco3750边缘路由器分别处于两局域网网关位置，两两一组，形成冗余。网关后各有一台主机，这两台主机之间进行IPsec安全通讯。每台边缘路由器都已经配置好相应的IPsec隧道及相关策略，而且配置了基于cisco ios CBAC状态型防火墙，两局域网由两路由器模拟的Internet网云连接。

3.1首先，对于防火墙主要进行如下一些配置：开启inspect检测，这样可以让每个接口自动检查ACL允许的流量，deny的不检查，有通信时建立状态表，没有通信时就不建立，也就是有会话时就有ACL，没有就删除。以下是针对IPSec协议的检测，在outside方向，开启对isakmp协商的检测。

ip inspect name outside udp timeout 5

ip inspect name outside isakmp

ip inspect name outside icmp

3.2对outside区域运用防火墙策略。由于AH和ESP的协议号分别为50和51，所以在outside方向上，让有限状态机对协议号为50的AH和51的ESP报文进行检测放行。

permit ahp any any

permit esp any any

由于isakmp的协商属于UDP协议，且端口号为500和4500，在outside方向，让有限状态机对isakmp的4500和500端口进行检测放行，以便isakmp协商成功。

permit udp any any eq isakmp

permit udp any any eq non500-isakmp

验证：在A路由器上使用 show access-list命令可以看到，如图2所示。

图2显示ESP格式报文的加密报文和isakmp的通道协商已经与防火墙的规则进行了匹配并且放行。Ping测试显示成功，如图3所示。

4加密流量与非加密流量对比

前提：为了达到加密与非加密流量对比，需要在配置两台服务器，一台处于内网中，受到IPSecVPN的加密保护，一台在公网上，供外网客户访问，不采用IPSec加密。服务器上包括WWW、FTP、DNS、MAIL常用服务。

（1）在外网和内网服务器上开启wireshark进行抓包并分析；（2）访问服务器www网页；（3）访问FTP服务器；（4）使用OE发送邮件；（5）使用OE进行收邮件；（6）使用telent登录服务器；（7）打开wireshark显示抓包分析结果，外网服务器的抓包结果显示，所有包的协议都可以显示出来，包括WWW的网址与内容，FTP和TELNET的用户名与密码，这些都是极其不安全的，而经过IPSec加密的内网服务器则所有包都是用ESP包头进行封装加密，显示不出任何包信息，这样可以很好的保护企业的数据。如图5和图6所1示。

5小结

本文通过研究IPSec协议族，实现了一个较为完整的IPSecVPN系统。包括客户端、服务器端软硬件设计和实现、网络配置及内嵌管理等，还解决了IPSec协议通过CBAC防火墙问题。

篇5

中图分类号：TP271 文献标识码：A 文章编号：1009-3044（2012）33-7915-03

计算机网络是通过互联网服务来为人们提供各种各样的功能，如果想保证这些服务的有效提供，一是需要全面完善计算机网络的基础设施和配置；二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。

1　网络安全的定义

网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题，也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护，不会因为网络意外故障的发生，或者人为恶意攻击，病毒入侵而受到破坏，导致重要信息的泄露和丢失，甚至造成整个网络系统的瘫痪。

网络安全的本质就是网络中信息传输、共享、使用的安全，网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。

2　网络安全技术介绍

2.1　安全威胁和防护措施

网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。

安全威胁可以分为故意安全威胁和偶然安全威胁两种，而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等，而不对这些数据进行篡改，主动安全威胁则是对网络中的数据信息进行故意篡改等行为。

2.2　网络安全管理技术

目前，网络安全管理技术越来越受到人们的重视，而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大，网络安全防范技术也得到了迅猛发展，同时出现了若干问题，例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题，以及网络中大量数据的安全存储和使用问题等等。

网络安全管理在企业管理中最初是被作为一个关键的组成部分，从信息安全管理的方向来看，网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。

在实际应用中，网络安全管理并不仅仅是一个软件系统，它涵盖了多种内容，包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。

2.3　防火墙技术

互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入，是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统，目的是为了保证整个网络系统不受到任何侵犯。

防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息，而且其具有一定程度的抗外界攻击能力，所以可以作为企业不同网络之间，或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施，它不仅是一个限制器，更是一个分离器和分析器，能够有效控制企业内部网络与外部网络之间的数据信息交换，从而保证整个网络系统的安全。

将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全，很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务，更容易受到网络的攻击和窃听。目前，互联网中较为常用的协议就是TCP/IP协议，而TCP/IP的制定并没有考虑到安全因素，防火墙的设置从很大程度上解决了子网系统的安全问题。

2.4　入侵检测技术

入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评价结果来判断行为的正常性，从而帮助系统管理人员采取相应的对策措施。入侵检测可分为：异常检测、行为检测、分布式免疫检测等。

3　企业网络安全管理系统架构设计

3.1　系统设计目标

该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足，提出一种通用的、可扩展的、模块化的网络安全管理系统，以多层网络架构的安全防护方式，将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中，使得这些网络安全防护技术能够相互弥补、彼此配合，在统一的控制策略下对网络系统进行检测和监控，从而形成一个分布式网络安全防护体系，从而有效提高网络安全管理系统的功能性、实用性和开放性。

3.2　系统原理框图

该文设计了一种通用的企业网络安全管理系统，该系统的原理图如图1所示。

3.2.1　系统总体架构

网络安全管理中心作为整个企业网络安全管理系统的核心部分，能够在同一时间与多个网络安全终端连接，并通过其对多个网络设备进行管理，还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件，以及在网络中发生响应命令等功能。

网络安全是以分布式的方式，布置在受保护和监控的企业网络中，网络安全是提供网络安全事件采集，以及网络安全设备管理等服务的，并且与网络安全管理中心相互连接。

网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。

网络安全管理专业人员能够通过终端管理设备，对企业网络安全管理系统进行有效的安全管理。

3.2.2　系统网络安全管理中心组件功能

系统网络安全管理中心核心功能组件：包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能，它是到系统探测器模块数据库中进行选择，找出与功能相互匹配的模块，将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询，并将管理策略发送给网络安全。

系统网络安全管理中心数据库模块组件：包括了网络安全事件数据库、网络探测器模块数据库，以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的，它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计，主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略，并且对各种策略进行存储。

3.3　系统架构特点

3.3.1　统一管理，分布部署

该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理，并且根据网络管理人员提出的需求，将网络安全分布地布置在整个网络系统之中，然后将选取出的网络功能模块和网络响应命令添加到网络安全上，网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。

3.3.2　模块化开发方式

本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式，如果需要在企业网络管理系统中增加新的网络设备或管理策略时，只需要对相应的新模块和响应策略进行开发实现，最后将其加载到网络安全中，而不必对网络安全管理中心、网络安全进行系统升级和更新。

3.3.3　分布式多级应用

对于机构比较复杂的网络系统，可使用多管理器连接，保证全局网络的安全。在这种应用中，上一级管理要对下一级的安全状况进行实时监控，并对下一级的安全事件在所辖范围内进行及时全局预警处理，同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。

4　结论

随着网络技术的飞速发展，互联网中存储了大量的保密信息数据，这些数据在网络中进行传输和使用，随着网络安全技术的不断更新和发展，新型的网络安全设备也大量出现，由此，企业对于网络安全的要求也逐步提升，因此，该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。