企业网络安全整改范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇企业网络安全整改范例，将为您的写作提供有力的支持和灵感！

篇1

近些年，随着电力体制改革的逐步深入和信息技术的飞速发展，发电企业对信息系统的依赖性逐渐提高，信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同，并因此大幅提高了生产效率和管理水平。

其中，网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子，发电企业的信息网络安全尤为重要，保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上，网络安全已经成为发电企业安全生产的一项重要内容，不论对于火力、水力、核电、风能、太阳能还是新能源发电企业，网络安全同等重要。

从电力行业信息化的发展现状来看，网络安全工作大致可以分为以下几个方面：网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括：企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括：防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括：信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括：企业日常网络安全培训（包含：企业领导、信息化人员和业务人员）和网络安全管理员专业技术培训。

发电企业已经在网络安全方面取得了很大的成绩，软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高，国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时，还需要充分认识到自身的不足之处，很多发电企业认为发电才是自己的主业，对企业信息化不够重视，人员和资金的投入都很少，导致企业网络安全得不到有效的保障，网络安全事件时有发生，这对于企业和国家都是一笔损失。

综上所述，发电企业要从以下几个方面入手，逐步改进并完善网络信息安全工作：企业应该有独立的信息化管理部门，设置专门负责网络安全管理员，明确岗位安全责任制，成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议，商议决策企业信息化工作，强化网络安全;做好企业网络安全规划，按照年度、短期和长期规划来制定，信息安全工作的整体策略及总体规划（方案）需要完善，在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传，让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限，根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度，并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求，进行信息系统安全等级保护备案工作，进行安全风险测评;定期开展网络安全自查工作，并按照检查问题进行相关整改，需要定期开展网络安全自查及整改工作，有条件的企业可以请外面高水平的专家组来企业做安全测评指导，通过这些检查可以及时发现问题，进行有效的整改工作，保障企业信息网络安全，使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练，进一步完善企业的网络与信息安全应急管理体系，保障应急资源的及时到位，进一步制定有针对性的、实用化的专项应急预案，同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括：密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系，避免了账户的重复和共享账户的存在，对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离，实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位，以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品，降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作，只有符合规定的人员才能上岗，一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求，需要做到所有计算机类产品不安装Windows 8操作系统，并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。

不论在哪个行业或领域，安全都是第一位的，而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责，谁运营谁负责”的原则，明确任务，落实责任，加强网络安全工作，保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环，必须遵循“上网不、不上网”的原则。总之，发电企业面临的网络安全形势是复杂多变的，还有很长的路要走。

参考文献

[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.

[2]祝崇光，姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集（第二十二卷）[C].2007.

[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集（第二十二卷）[C].2007.

[4]曾德贤，李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.

篇2

doi：10.3969/j.issn.1673 - 0194.2015.16.052

[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194（2015）16-00-01

随着计算机及通信技术的进一步发展，大部分企业都加强信息化网络建设，油田企业也不例外。安全是影响企业网络正常运行的关键。因此，油田企业要根据企业发展现状，对加强企业网络安全提出针对性建议。

1 油田企业网络安全现状

1.1 企业信息安全管理的隐患

信息安全管理涉及油田生产、数据保存、办公区域保护等多个层面，在信息化时代，油田企业需要加强信息化网络安全管理。现阶段，油田企业信息安全管理的漏洞包括：①信息安全管理制度不健全，缺乏细化、具体化的网络安全措施，针对员工不合理使用信息设备、网络的惩罚机制不健全。②部分管理人员和员工信息素养较低，如他们不能全面掌握部分软件的功能，不重视企业网络使用规范，且存在随意访问网站，随意下载文件的现象，增加企业网络负担，影响网络安全。③信息系统管理员缺乏严格的管理理念。石油企业信息网络系统都设有管理员岗位，负责企业内部网络软硬件的配备与管理，但现阶段，该职位员工缺乏严格的管理理念，不能及时发现和解决信息安全隐患。④为方便员工使用移动终端设备办公上网，石油企业办公区域也设置了无线路由器。但是，员工自身的手机等设备存在很多不安全因素，会影响企业网络安全性。

1.2 病毒入侵与软件漏洞

网络病毒入侵通常是通过访问网站、下载文件和使用等途径传播，员工如果访问不法链接或下载来源不明的文件，可能会导致病毒入侵，危害信息安全。病毒入侵的原因主要有两方面，一方面，员工的不良行为带来病毒；另一方面，系统自身的漏洞导致病毒入侵。由此看来，油田企业信息化软件自身存在的漏洞也具有安全隐患。其中，主要包括基础软件操作系统，也包括基于操作系统运行的应用软件，如Office办公软件、CAD制图软件、社交软件、油田监控信息系统、油田企业内部邮箱、财务管理软件、人事管理软件等。

1.3 网络设备的安全隐患

现阶段，油田企业网络设备也存在不安全因素，主要表现在两方面：第一，油田企业无论是办公区还是作业区，环境都较为恶劣，部分重要企业信息网络设备放置环境的温度、湿度不合理，严重影响硬件的使用寿命和性能，存在信息数据丢失的危险；第二，企业内部网络的一些关键环节尚未引入备份机制，如服务器硬盘，若单个硬盘损坏缺乏备份机制，会导致数据永久性丢失。

2 提高油田企业网络安全策略

2.1 加强信息安全管理

基于现阶段油田企业信息网络安全管理现状，首先，油田企业要重新制定管理机制，对各个安全隐患进行具体化、细化规范，包括员工对信息应用的日常操作规范，禁止访问不明网站和打开不明链接。其次，油田企业要强化执行力，摒除企业管理弊端，对违规操作的个人进行严厉处罚，使员工意识到信息安全的重要性，提高其防范意识和能力。再次，油田企业要招聘能力强、素质高的信息系统管理员，使其能及时发现和整改系统安全隐患。最后，对员工使用智能终端上网的现象，则建议办公区配备无线路由器的宽带与企业信息网络要完全隔离，以避免对其产生负面影响。

2.2 加强对软件安全隐患和病毒的防范

（1）利用好防火墙防范技术。现阶段，油田企业的网络建设虽然引入防火墙设备，但没有合理利用。因此，油田企业要全面监管和控制外部数据，防止不法攻击，防止病毒入侵。同时，定期更新防火墙安全策略。

（2）对企业数据进行有效加密与备份。对油田企业来说，大部分数据具有保密性，不可对外泄密。因此，企业不仅要做好内部权限管理，还应要求掌握关键数据的员工对数据做好加密和备份工作。在传输和保存中利用加密工具进行加密，数据的保存则需要通过物理硬盘等工具进行备份。有条件的企业，可在不同地区进行备份，以防止不可抗拒外力作用下的数据丢失。

（3）合理使用杀毒软件。企业要对内部计算机和移动终端安装杀毒软件，并高效运行，以加强对病毒的防范。

2.3 提升网络设备安全

（1）由于油田企业内部信息网络规模较大，设备较多且部署复杂。因此，要及时解决硬件面临的问题，定期检查维修，提高硬件设备安全性。定期检修能准确掌握网络设备的运行状况，并能及时发现潜在隐患。

（2）对处于恶劣环境中的网络设备，包括防火墙、服务器、交换机、路由器等，尽量为其提供独立封闭的空间，以确保温湿度合理。

3 结 语

信息网络安全管理是油田企业管理的关键。因此，油田企业要完善信息网络操作安全管理制度，保证软件系统、硬件设备安全运行。

篇3

中图分类号：TP393.18 文献标识码：A 文章编号：1006-8937（2012）26-0076-04

回顾企业网络安全运行维护工作，有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验，有效利用网络管理防范与处理ARP欺骗、攻击相关经验。

从近年的网络运维，网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通，有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生，所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位，从而给网络管理与网络维护提出了新挑战。

由于这种网络故障来的较突然，既没有可以参考的经验，又没有可用的网络协议分析仪等条件进行客观数据的实地采集，所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”，用逐段排除法对有问题的PC机进行定位后再采取整治方法，但这种方法费时费力，排除故障时间长。通过对故障网络现场观察和体会，加上对网络TCP/IP协议的分析后，得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别，采取有效的防控手段来遏制这些网络安全威胁。

1 ARP欺骗分析

ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议，或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中，以太网的每一帧有两种方式传输。一种对外传，就是用户有一个需求，当需要透过路由将网络帧转发到别的Vlan时，需要通过本地Vlan的网关。另外一种是内传，当有用户需求就在本身这个Vlan网络中时就不需要网关了。

当遇到ARP欺骗的时候，我们就会发现原本发送给本地Vlan网关的数据帧，没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了，就感觉到反复“掉线”或者“断线”，网络好像处在“震荡”中，迫使网络用户重新启动自己的计算机以期重新获得联网的需求，此时正好中了欲进行ARP欺骗计算机的“招”，当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时，进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址，以至于给用户一个重新获得上网的感觉，其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机，这就是ARP欺骗在一个Vlan中的基本原理。

进行网络ARP欺骗的计算机在进行MAC欺骗的过程中，会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法，网络欺骗计算机改写了CAM表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写，以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。

网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”，它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议（ARP）攻击”。

当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时，就发生了ARP攻击。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下的两种攻击：“服务拒绝”和“中间人攻击”。

目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主，它们会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成网络断线了。

这就是ARP地址欺骗攻击，造成内部PC和外部网的断线，该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏，由于它与网络病毒相结合，所以无论在传播的速度和攻击特性都有较大的“聚变”，ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现“中间人攻击”（man in the middle） ，进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中机器ARP缓存的崩溃。

下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。

3 原因分析

从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看，这些计算机大多存在如下的共同特征：

①系统安全补丁严重缺失，有的Winxp在SP2后只有一个补丁，所以补丁缺少很多（约两年）。

②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。

③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档，特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。

④有的网络用户违规下载并安装“网络游戏”或使用带毒的“实时通信软件”所至，如“传奇”和“QQ”等。

⑤有的部门信息联络员没有及时将计算机安全基本要求宣传到位。

⑥有的部门领导忙于生产而无法具体落实计算机系统安全的相关规章制度。

4 利用网络管理防范与处理

4.3 对主要网络应用进行必要的网络细分

从对企业总部大楼十二楼Vlan241和原基建大楼Vlan226网络的整改后的使用效果来看，网络规划在必要的网段上要从多方面考虑网络应用的实际需要，特别是要从防控类似ARP欺骗和欺骗攻击病毒上考虑对重要网段的“细分”工作。企业总部大楼十二楼和基建大楼的网络在被“细分”后，实际使用和管理上较整改以前都有较好的网络使用和网络安全的效果，充分说明了这一点。

4.4 用网络管理软件和工具软件进行预防

充分利用网络管理软件的“IP地址管理”在MAC与IP绑定上的作用，对企业网络上运行的计算机系统进行全天候不间断的监控，再利用类似于Antiarp这样的工具软件对有问题故障网段进行现场“抓获”。

5 结 语

在我们这样大型国有企业网络中，网络故障错综复杂，不借助专业网络管理软件和认真细致地对网络故障分析，很难对非物理性网络故障，类似ARP欺骗和欺骗类攻击病毒引起的网络故障进行排查带来很大的困难，同时会给网络产生巨大的安全威胁。

所以，对于企业的网络运行，需要网络管理人员充分利用网络管理工具，对网络进行长期有效的监测和分析，才能最大程度地排除可能的网络故障和网络安全威胁。然而计算机系统安全是与各个使用计算机的企业网络终端用户密切相关的，计算机安全必须及时、有效地去“实施”的观念离实际的网络安全要求还相差的甚远，仅靠企业每年要求信息中心利用“总厂例行岗检”和“计算机系统专项安全大检查”的方法来维持网络安全，那是无法适应日益变换和增长的网络安全需要的。

近年来在网络安全运维实践中在技术层面上总结出一些行之有效方法，让参加企业IT网络运维的同行们能有效地共享，充分利用网络管理系统已有的功能，深化网络与信息系统的安全运行具有重要意义。

篇4

随着计算机网络技术的飞速发展，企业网络化管理成为当今世界经济和社会发展的趋势与主流。在网络化背景下，企业不仅能够方便快捷地进行信息共享、信息交流与信息服务，而且极大地提高了工作效率，创造了经济效益，增加了在激励市场竞争中的核心竞争力。然而，凡事有利则有弊，网络技术也不例外，网络化给企业带来巨大利益的同时，网络信息安全问题也成为众多企业十分头痛的问题。如何解决常?网络问题，消除网络安全隐患，严堵安全漏洞，确保企业计算机网络及信息的安全，从而来确保油田企业生产、科研等工作正确开展，已成为石化企业亟待解决的重要课题。

因此，信息管理人员必须对网络信息安全管理的内涵加深认识，并进行再分析与阐述。一直以来，许多企业谈及网络信息安全管理，大多认为就是技术层面的工作，如防黑客攻击、反病毒侵蚀、堵系统安全漏洞等专业技术问题。其实维护网站安全工作，应不止于此。网络环境下的信息安全不仅涉及到数据加密、防黑客、反病毒、控制入网访问、防火墙升级技术等专业技术问题，更应该涉及法律政策问题和制度管理问题。就当前石化企业信息网络管理工作来看，往往重视升级硬件、技术防范，却忽视安全管理问题，特别是人员管理、制度管理。其中，安全技术与安全管理齐头并进，两手共抓才是企业网络信息安全致胜的法宝，技术问题是基础与保障，而安全管理则是信息安全更强大的方式手段。

二、石化企业信息网络中存在的安全隐患

（一）网络安全的防患意识淡薄、疏于管理

目前，许多人对石化企业的信息化发展没有客观清醒的认识，存在不少认知盲区，认为石化企业网络信息安全对公司效益并无多大影响，同时认为使用互联网的用户不多，对网络使用的层次要求并不高，只要能简单上网，传发邮件即可，并不会太多考虑企业本身网络的安全性。从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的意识，根本谈不上提高网络监测、防护、响应、恢复和抗击能力。

（二）存在安全漏洞

随着计算机技术的迅猛发展，其程序运营和管理并不成熟，在实际操作过程中不可避免地会出现这样那样的安全漏洞问题。不管是计算机程序运营、软件操作系统还是相关的计算机软件都存在一定的漏洞，这些漏洞一旦没有被发现并及时处理掉，很容易成为黑客袭击计算机系统的便利通道，导致计算机系统崩溃，从而导致企业网络瘫痪，造成重要数据丢失或外泄，影响企业的正常运营。

三、计算机信息安全技术管理

（一）合理设计计算机信息管理系统

合理设计计算机信息管理系统，是确保安全不受威胁的根本保障，加强对计算机信息管理安全性的重视，确保网络运行质量与网络运行安全，制定与之相符的方案，提高设计的科学性、合理性。另外，由于网络具有一定的局限性，在网络中传输的各种数据资料可能遭遇拦截、篡改或盗用，对此，可以通过物理分段和逻辑分段两种形式，加强局域网的安全防范与控制手段，从而确保计算机信息管理系统中的运行安全。

（二）完善安全管理制度

一个完善健全的安全管理制度，能够在一定程度上保证网络运行安全，推动计算机信息管理技术的发展。例如，在日常管理中，可以通过相应的人才管理制度，对外加大人才引进力度，招聘一些高素质的计算机信息管理专业人才，进而提升人才队伍的整体素质，为网络安全管理工作提供良好的人才支撑。

（三）做好计算机网络漏洞防护工作

篇5

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 08-0000-02

Military Enterprise Network Security Issues

Wang Huqiang,Wu Suqin,Gu Wenhui

(Luoyang Bearing Science&Technology Co.,Ltd.,Luoyang471039,China)

Abstract:The military enterprises in the national economy and play an important role,along with in-depth information technology,network information security issues are also increasingly prominent.This information from the affected area enterprise network security defense several major factors,discusses military enterprise network information security solutions.

Keywords:Military enterprises;Network information;Security issues

一、概述

军工企业是国防科技工业的重要组成部分，是国家综合实力的重要基础。当前，不少军工企业除了承担着军工科研任务和生产任务外，同时也是行业先进技术和生产力的代表，担负着国民经济建设的重大历史使命。

在信息技术高度发展的今天，军工企业的信息化建设也在积极科学的开展。网络已经成为企业研发、生产、经营不可或缺的工具，是企业信息化建设的重要资产。网络充分发挥了现代化工具的作用，为企业发展提供更加快捷和强大的支撑以提高整体的核心竞争力。

但是，随着信息技术的迅猛发展，企业信息化水平的逐步提高，网络信息的安全问题也日益突出。特别是通过网络发生的一些失密、泄密事件，暴露出军工企业科研生产过程中网络信息安全方面存在的问题和隐患。加强军工企业的网络信息安全管理，关系到企业的利益，关系到国家的安全，还关系到包括企业员工在内的广大人民群众的根本利益。

二、影响军工企业网络信息安全的几个主要因素

（一）管理因素

1.体制方面

军工企业因保密工作的需要，大多成立了计算机安全保密领导小组，但往往只是为工作需要所设，未能发挥其真正的作用。目前大多数军工企业信息部门的技术人员除了维护全企业的计算机和网络之外，还负责企业信息化的推广和实施工作，现在很多企业的信息部门还承担着保密管理工作的重要任务，多数技术人员还兼顾着其他的业务，网络信息安全管理实际很难到位。

2.制度方面

军工企业一般都制定有严格的安全保密制度，但这些制度主要是针对网络来制定的，对非网络，往往是疏于管理。一方面非网络的安全管理制度不完善，另一方面，即使制定了合理完善的安全管理制度，却难以付诸实施。原因有二：其一为对安全制度的学习不够全面，甚至很少安排学习；其二是执行不力。例如，虽然要求所有的非计算机都要设置相应的口令和安装杀毒软件，但还是有计算机没有设置任何密码，没有安装杀毒软件，一台计算机上甚至能够查杀到200多个木马病毒。

（二）人员因素

网络信息的安全工作未得到应有的重视，大家普遍认为只要硬件设备工作正常，数据完好无损，网络正常工作就高枕无忧。甚至认为网络安全仅是网络管理员的职责，殊不知网络安全需要全体人员的参与和积极配合，从根本上认识到网络安全关乎每个人的切身利益。

另外，网络安全管理技术人员的主要工作是软硬件的维护，常常因为经费的问题或工作太忙走不开等原因而得不到系统、专业的培训，尤其是在网络知识日新月异的今天，网络安全知识的积累往往跟不上业务发展的需要，严重制约了安全管理在网络应用上的实施。

（三）技术因素

1.软硬件漏洞

当前，软硬件的漏洞无处不在。众所周知，计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞，极易给病毒、隐蔽信道和可恢复密码等开辟捷径，极易为他人利用。每当发现新的漏洞，就会在短短的几分钟内传遍整个网络，攻击者就可以利用这些漏洞对网络进行攻击，网络信息处于被窃听、监视等多种安全威胁中，信息安全极度脆弱。

2.计算机病毒

互连互通的网络给人们传输信息和共享信息带来了极大的方便，但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高，使网络用户防不慎防，给企业带来巨大的损失。

3.黑客攻击

境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标，无时不在对我进行情报窃密活动，黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞，经过一些非法手段访问企业内部网络和数据资源，可以删除、复制、修改甚至毁坏一些重要数据，从而给企业和个人用户带来意想不到的损失。

4.内外网隔离不力

大多数军工企业既有网络，也有非网络，非网络一般又有与互联网隔离的运行办公、管理信息系统的内部网络（简称“内网”）和与互联网联通的外部网络（简称“外网”）。网络一般能够做到与其他非网络物理隔离，但非的内外网还是存在以下问题：

（1）非的内外部网络隔离执行不力，一机多用现象普遍。大部分军工企业没有做到非的内外部网络的物理隔离，或逻辑隔离强度不够；另外存在一机多用的情况，在内外网之间随意转换使用。致使病毒在多个网络中流传，存在一点突破全网尽失的现象。

（2）一些单位内部文件共享情况比较普遍，缺乏有效的授权访问机制，对内不设防的情况比较多。

（3）移动存储介质管理不严。对于一些物理隔离较好的内外部网络，因移动存储介质能够在两个网络之间能交叉使用，致使病毒仍能在网络之间流转，甚至能通过接入互联网的计算机把信息传输出去，致使内外网的隔离失去实际意义。

三、解决对策和措施

解决网络信息安全的对策和措施的遵旨是技术与管理相结合：技术和管理不是相互孤立的。对于任何一个企业来说，网络信息的安全不仅是技术方面的问题，更是管理的问题。

（一）制定完善的安全管理制度，拟定可行的培训计划

真正发挥计算机安全保密领导小组的职能作用，把非网络的安全管理也作为工作的重点来抓，提高全体员工对网络安全事故危害性的认识。制定完善的安全管理制度，精确到细节，从企业高管到部门负责人以及普通员工，确定每个用户在网络中扮演的角色和承担的安全责任义务，职责分明。随着计算机网络延伸至企业业务的各个层面，仅靠信息中心的少数几位技术人员已无法保证所有存在安全风险的业务系统的安全管理，所以应在各个部门配置兼职的安全管理人员来落实安全管理，对这些安全管理人员应每年都安排企业内外的安全管理工作的培训，以便他们研究安全防范技术，分析本企业可能存在的安全风险和薄弱环节，并进行重点管理。企业应将网络安全管理工作作为一项重要指标纳入年度考核，营造“网络安全，人人有责”的全体动员的氛围。

同时应制定详细的安全管理策略，并每年定时或不定时的对非网络的服务器和计算机进行抽查，根据检查结果，对不符合要求的要实事求是的下发整改通知，并在公司网络安全管理会议上进行通报。

（二）安装防火墙

防火墙是目前比较有效的阻止黑客入侵的技术防范措施之一，能够有效地防止黑客随意更改、移动、删除网络中的重要数据信息。但要安全管理人员时刻关注日志信息，并根据日志信息对防火墙的安全策略配置进行调整，适时的应对网络环境的变化。

（三）统一对网络安全进行扫描和补丁管理

在网络环境中，病毒的传播速度非常快，仅依靠单机来防病毒已经很难阻止病毒在网络中的扩散，所以应该配置一套适合局域网的全方位的防病毒产品。例如，可以以一台服务器作为平台，在此基础之上配置有效的防病毒软件，然后在规定的时间段对局域网的所有计算机进行安全扫描，发现漏洞统一进行安装。这既减轻了安全管理人员的工作量，也保证了网络中的单机不会因使用人员的麻痹大意和疏忽导致病毒反反复复发作而查杀不尽。

（四）划分VLAN，严格做好内外网隔离

按照部门划分为多个VLAN，部门内部也可以根据需要划分VLAN，各VLAN之间不能互相访问，严格做好内外网隔离，对实行物理隔离的要定期查看是否有效。各VLAN之间的资源访问必须通过核心交换机访问数据中心的数据服务器。数据服务器设置了防火墙，利用防火墙来实现对用户的访问控制。

（五）加强对员工上网行为的管控

军工企业因其特殊性，对接入互联网管理得非常严格。除了因工作需要必须上网且经层层审批之外，在技术上进行了相应的处理，用户名、IP地址、MAC地址实行绑定，做到实名上网。

对员工上网行为的管控不仅仅局限于对某些软件的限制和网络行为的监控，最主要的是监控网络上是否流转了信息或一些敏感信息。所以，配置员工上网行为管控系统也非常重要，除了设置一些安全审计策略实现自动报警外，安全管理人员对日志的仔细筛查才能保证管控系统有效性，并根据日志记录及时调整安全审计策略。同时，这些日志也是安全管理人员对网络中的单机进行抽查的重要凭证和依据，以此为基础，找出非网络中可能存在的隐患，确保信息不在非网络中传输、存储和处理。

（六）加强对移动存储设备的管理

网络安全管理人员应准确掌握企业移动存储设备的现有情况，建立台帐，将移动存储设备的序列号、责任人一一对应，尽可能的统一进行编号以便于管理。另外，可以在网络中部署移动存储设备的管理软件，限制移动存储设备的使用范围，并可对移动存储设备的存储格式进行加密，使其无法在限定范围外使用或读取，从而确保网络信息的安全。同时，可收集管理软件中的日志信息，分析移动存储设备管理存在的安全漏洞，及时调整安全策略配置。

四、结语

军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到，安全不是技术，而是技术与管理的结合，任何先进的安全技术都需要严谨的管理作为后盾，否则，只是一堆软硬件的组合。我们必须从自身做起，坚持不懈，确保军工企业的网络信息安全。

参考文献：

[1]徐明.网络信息安全[M].西安:西安电子科技大学出版社,2006