公司网络安全方案

‘壹’ 公司网络安全

企业网络安全认知与防范

在科学技术发展的今天，计算机和计算机网络正在逐步改变着人们的工作和生活方式，尤其是Internet的广泛使用更为企业的管理、运营和统计等带来了前所未有的高效和快捷。但同时计算机网络的安全隐患亦日益突出。

从网络结构上来看，企业网可分为三个部分。即企业的内部网络、企业的外部网络和企业广域网。网站建立的目的主要是帮助企业建立一个展示企业文化，发布企业信息，宣传企业形象和介绍企业产品的这样一个信息平台。如图就是一个实际的企业网络拓扑图。

★ 威胁安全的主要因素

由于企业网络由内部网络、外部网络和企业广域网组成，网络结构复杂，威胁主要来自：病毒的侵袭、黑客的入侵、拒绝服务、密码破解、网络窃听、数据篡改、垃圾邮件、恶意扫描等。大量的非法信息堵塞合法的网络通信，最后摧毁网络架构本身。

下面来分析几个典型的攻击方式：

密码破解 是先设法获取对方机器上的密码文件，然后再设法运用密码破解工具获得密码。除了密码破解攻击，攻击者也有可能通过猜测或网络窃听等方式获取密码。

网络窃听 是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。

数据篡改 是截获并修改网络上特定的数据包来破坏目标数据的完整性。

地址欺骗 是攻击者将自身IP伪装成目标机器信任的机器的IP 地址，以此来获得对方的信任。

垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件，或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。

非法入侵 是指黑客利用企业网络的安全漏洞，不经允许非法访问企业内部网络或数据资源，从事删除、复制甚至毁坏数据的活动，一旦企业的重要数据被窃将会给企业造成无法挽回的损失。

★ 企业网络安全的防范

企业网络安全的防范策略目的就是决定一个组织机构怎样来保护自己。一般来说，安全策略包括两个部分：一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针，并为实现这个方针分配必要的人力物力。一般是由管理层的官员来主持制定这种政策以建立该组织机构的信息系统安全计划和其基本框架结构。

物理隔离 即在网络建设的时候单独建立两套相互独立的网络，一套用于部门内部办公自动化，另一套用于连接到Internet，在同一时候，始终只有一块硬盘处于工作状态，这样就达到了真正意义上的物理安全隔离。

远程访问控制 主要是针对于企业远程拨号用户，在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证，并对所有的用户机器的MAC地址进行注册，采用IP 地址与MAC地址的动态绑定，以保证非授权用户不能进入。

病毒的防护 在企业培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵。

防火墙 目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高，是最不容易被破坏和入侵的。

★ 结束语

企业网络安全是一个永远说不完的话题，今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增。如何才能持续停留在知识曲线的最高点，把握住企业网络安全的大门这将是对新一代网络管理人员的挑战。

资料：
网络安全
http://www.xfocus.net/ 这个网站差不多够你看的了。

企业网络安全八大威胁 IM和电邮上榜
http://tech.sina.com.cn/i/2007-09-14/07401739285.shtml

‘贰’ 公司内网安全解决方案求助

公司内网安全解决方案？

合力天下内网安全监控平台基于系统管理思想和安全实践经验，全面考虑可能造成信息破坏及外泄的各个方面，保护企业信息不被人为外泄、非法盗取、恶意篡改，帮助企业对信息安全进行系统规划及管理。
合力天下内网安全监控平台通过灵活有力的管理，在保持企业活力的前提下规范终端行为，提升企业执行力；管理人员通过单一控制台随时了解各台计算机运行状态，并进行系统安全管理及资产管理。
合力天下内网安全监控平台的主要功能包括：
应用程序管控
记录应用程序使用的日志；
统计应用程序使用时间和百分比；
控制应用程序的运行。
网页浏览管控
记录浏览网页的网址和标题；
统计网页浏览的时间和百分比；
控制访问指定的网站或网页。
文档操作管控
记录所有文档的操作信息，包括不同类型存储设备以及各种文档操作；
记录其他计算机对本机共享目录的删除和修改操作；
可设定灵活的多种操作权限，控制文档的读取，修改和删除操作；
重要文档的复制和删除操作，可对文档进行备份。
打印内容管控
记录所有打印任务的日志；
完整记录文档打印映像；
控制打印操作。
设备管控
控制各种计算机设备的使用；
对任何新增加的设备进行控制。
网络控制
根据客户端类别以及网络地址和端口的类别进行网络通讯控制；
检测网络内的非法计算机，阻止非法计算机接入网络。
网络流量管控
记录网络通讯流量，并按照不同的口径进行统计；
根据不同的地址和端口范围，在不同时间段内实现流量控制。
屏幕监控
实时查看客户端的屏幕快照；
记录客户端的历史屏幕记录，根据不用的应用程序采用不同的记录频率；
可将屏幕历史转换为通用视频文件进行播放。
邮件管控
记录邮件收发的日志以及邮件的完整内容和附件的；
根据策略控制邮件的发送。
即时通讯控制
完整记录流行的即时通讯工具的对话时间，联系人和对话内容；
控制通过即时通讯工具向外发送文档；
对向外发送的文档进行备份。
资产管理
自动扫描每台终端的软硬件资产信息，详尽记录资产变更情况；
可自定义资产属性和类别对软硬件资产和非IT资产进行管理；
自动扫描微软产品补丁安装情况，对补丁进行自动分发和安装；
自动扫描客户端的安全漏洞，提供分析报告和解决方案；
自动部署和安装软件、指定程序或派送文档。
远程维护
实时查看客户端的运行信息，可执行远程操作；
远程连接到客户端桌面，进行远程协助；
支持进行远程文件传送。
移动存储控制
记录移动存储设备在网络内的使用，设定不同的访问权限，控制移动存储读取；
对移动存储设备中的文档进行自动加解密，在未经授权的计算机上无法读取。
文档透明加解密
重要文档自动强制加密；
设定加密文档的截屏、打印、复制/粘贴、拖拽、邮件发送等操作权限；
根据企业部门分级设定文档使用的分级授权管理权限；
解密外发申请审计；
离线权限控制、外发文档权限控制；
加密文档操作审计与备份。

‘叁’ 选取你喜欢的一个行业典型企业,阐述该如何网络安全的方案和运维

摘要 作为一个家不断发展壮大的公司，信息安全必不可少。我觉得做信息安全应该从两方面入手，分为员工管理和设备管理。设备的话就需要必须的安全设备，外围的可以有硬件防火墙、IDS/IPS、防毒墙、漏洞扫描器等，当然看公司情况而购买。内部可以有统一的防病毒中心，定期给员工升级和控制其进行扫描。上网行为审计、EPS等都可以用到。从员工方面来管理的话，需要对员工进行一些技术培训，禁止使用u盘等设备进出公司等等，最好建立一个信息部门，招两个得力的网络管理人员。。。。

‘肆’ 企业网络安全该怎么做

★ 您的企业是否总是担心公司内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去？
★ 若泄漏是否会直接影响企业生存和发展？
★ 您的企业是否总有人员流动？
★ 原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了？
★ 现在的工作人员是否有可能将各种机密泄漏给竞争对手？
★ 工作人员离职后是否变成了企业的竞争对手？
★ 您的企业把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不会泄漏出去吗？
商场如战场，波谲云涌。身处其中的企业在日益激烈的商场竞争中不仅要应对来自竞争对手的挑战，还要面对企业内部的各种业务，因此承载企业重要商业信息的文件就在交错纷杂的商场风云下面临着各种安全隐患。没有进行加密防护的文件犹如一个诱人的苹果，谁都能轻易咬上一口。那么在这个没有硝烟的战场中，让域之盾加密软件坐镇文件安全，才能让企业放下包袱，轻装上阵。域之盾系统功能全面，可有效保护企业数据安全
1. 透明加解密
系统根据管理策略对相应文件进行加密，用户访问需要连接到服务器，按权限访问，越权访问会受限，通过共享、离线和外发管理可以实现更多的访问控制。
2. 泄密控制
对打开加密文档的应用程序进行打印、内存窃取、拖拽和剪贴板等操作管控，用户不能主动或被动地泄漏机密数据。
3. 审批管理
支持共享、离线和外发文档，管理员可以按照实际工作需求，配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时，将视管理员的权限许可，可能需要经过审批管理员审批。
4. 离线文档管理
对于员工外出无法接入网络的情况可采用系统的离线管理功能。通过此功能授权指定用户可以在一定时间内不接入网络仍可轻松访问加密数据，而该用户相应的安全策略仍然生效，相应数据仍然受控，文档权限也与联网使用一样。
5. 外发文档管理
本功能主要是解决数据二次泄密的威胁，目的是让发出的文档仍然受控。通过此功能对 需要发出的文件进行审批和授权后，使用者不必安装加密客户端即可轻松访问受控文件，且可对文件的操作权限及生命周期予以管控。

6. 审计管理
对加密文档的常规操作，进行详细且有效的审计。对离线用户，联网后会自动上传相关日志到服务器。
7. 自我保护
通过在操作系统的驱动层对系统自身进行自我保护，保障客户端不被非法破坏，并且始终运行在安全可信状态。即使客户端被意外破坏，客户端计算机里的加密文档也不会丢失或泄漏。

‘伍’ 网络安全防护的安全方案

人们有时候会忘记安全的根本，只是去追求某些耀人眼目的新技术，结果却发现最终一无所得。而在如今的经济环境下，有限的安全预算也容不得你置企业风险最高的区域于不顾而去追求什么新技术。当然，这些高风险区域并非对所有人都相同，而且会时常发生变化。不良分子总是会充分利用这些高风险区域实施攻击，而我们今天所看到的一些很流行的攻击也早已不是我们几年前所看到的攻击类型了。写作本文的目的，就是要看一看有哪些安全解决方案可以覆盖到目前最广的区域，可以防御各种新型威胁的。从很多方面来看，这些解决方案都是些不假思索就能想到的办法，但是你却会惊讶地发现，有如此多的企业(无论是大企业还是小企业)却并没有将它们安放在应该放置的地方。很多时候它们只是一种摆设而已。
下面给出的5大基本安全方案，如果结合得当，将能够有效地制止针对企业的数据、网络和用户的攻击，会比当今市场上任何5种安全技术的结合都要好。尽管市场上还有其他很多非常有用的安全解决方案，但如果要选出5个最有效和现成可用的方案，那么我的选择还是这5项：
防火墙
这块十多年来网络防御的基石，如今对于稳固的基础安全来说，仍然十分需要。如果没有防火墙屏蔽有害的流量，那么企业保护自己网络资产的工作就会成倍增加。防火墙必须部署在企业的外部边界上，但是它也可以安置在企业网络的内部，保护各网络段的数据安全。在企业内部部署防火墙还是一种相对新鲜但却很好的实践。之所以会出现这种实践，主要是因为可以区分可信任流量和有害流量的任何有形的、可靠的网络边界正在消失的缘故。旧有的所谓清晰的互联网边界的概念在现代网络中已不复存在。最新的变化是，防火墙正变得越来越智能，颗粒度也更细，能够在数据流中进行定义。如今，防火墙基于应用类型甚至应用的某个功能来控制数据流已很平常。举例来说，防火墙可以根据来电号码屏蔽一个SIP语音呼叫。
安全路由器
(FW、IPS、QoS、VPN)——路由器在大多数网络中几乎到处都有。按照惯例，它们只是被用来作为监控流量的交通警察而已。但是现代的路由器能够做的事情比这多多了。路由器具备了完备的安全功能，有时候甚至要比防火墙的功能还全。今天的大多数路由器都具备了健壮的防火墙功能，还有一些有用的IDS/IPS功能，健壮的QoS和流量管理工具，当然还有很强大的VPN数据加密功能。这样的功能列表还可以列出很多。现代的路由器完全有能力为你的网络增加安全性。而利用现代的VPN技术，它可以相当简单地为企业WAN上的所有数据流进行加密，却不必为此增加人手。有些人还可充分利用到它的一些非典型用途，比如防火墙功能和IPS功能。打开路由器，你就能看到安全状况改善了很多。
无线WPA2
这5大方案中最省事的一种。如果你还没有采用WPA2无线安全，那就请把你现在的安全方案停掉，做个计划准备上WPA2吧。其他众多的无线安全方法都不够安全，数分钟之内就能被破解。所以请从今天开始就改用带AES加密的WPA2吧。
邮件安全
我们都知道邮件是最易受攻击的对象。病毒、恶意软件和蠕虫都喜欢利用邮件作为其传播渠道。邮件还是我们最容易泄露敏感数据的渠道。除了安全威胁和数据丢失之外，我们在邮件中还会遭遇到没完没了的垃圾邮件！
Web安全
今天，来自80端口和443端口的威胁比任何其他威胁都要迅猛。有鉴于基于Web的攻击越来越复杂化，所以企业就必须部署一个健壮的Web安全解决方案。多年来，我们一直在使用简单的URL过滤，这种办法的确是Web安全的一项核心内容。但是Web安全还远不止URL过滤这么简单，它还需要有注入AV扫描、恶意软件扫描、IP信誉识别、动态URL分类技巧和数据泄密防范等功能。攻击者们正在以惊人的速度侵袭着很多高知名度的网站，假如我们只依靠URL黑白名单来过滤的话，那我们可能就只剩下白名单的URL可供访问了。任何Web安全解决方案都必须能够动态地扫描Web流量，以便决定该流量是否合法。在此处所列举的5大安全解决方案中，Web安全是处在安全技术发展最前沿的，也是需要花钱最多的。而其他解决方案则大多数已经相当成熟。Web安全应尽快去掉虚饰，回归真实，方能抵挡住黑客们发起的攻击。

‘陆’ 如何构建网络安全(以中型网络公司为例)

企业网络安全管理方案
大致包括： 1) 企业网络安全漏洞分析评估2) 网络更新的拓扑图、网络安全产品采购与报价3) 管理制度制定、员工安全教育与安全知识培训计划4) 安全建设方案5) 网管设备选择与网络管理软件应用6) 网络维护与数据灾难备份计划7) 企业防火墙应用管理与策略8) 企业网络病毒防护9) 防内部攻击方案10) 企业VPN设计
网络安全要从两方面来入手
第一、管理层面。包括各种网络安全规章制度的建立、实施以及监督
第二、技术层面。包括各种安全设备实施，安全技术措施应用等
按照你的描述 首先我提醒你一点
安全是要花钱的 如果不想花钱就你现有的这些设备
我认为应该从以下几点入手
一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等
二、制定并实施网络安全日常工作程序，包括监测上网行为、包括入侵监测
三、从技术层面上，你那里估计是一根专线接入后用交换机或者无线路由器DHCP分配IP地址供大家上网，这样的话你做不到上网行为管理，你需要一台防火墙进行包过滤以及日志记录 或者作一台代理服务器进行上网行为管理并进行日志记录。
四、局域网内计算机系统管理 包括操作系统防病毒 更新补丁等工作 堡垒往往是从内部攻破 内部计算机中毒主动向外发送数据，造成泄密 这已经是很常见的事情 所以做好主机防护很重要。
当然 如果您有钱 黑洞系统 入侵监测 漏洞扫描 多级防火墙 审计系统都可以招呼
最后提醒一点 那就是 没有绝对的安全 安全都是相对的
你需要什么级别的安全 就配套做什么级别的安全措施
管理永远大于技术 技术只是辅助手段

‘柒’ 企业网络安全解决方案

网络安全要从两方面来入手
第一、管理层面。包括各种网络安全规章制度的建立、实施以及监督
第二、技术层面。包括各种安全设备实施，安全技术措施应用等

按照你的描述 首先我提醒你一点
安全是要花钱的 如果不想花钱就你现有的这些设备
我认为应该从以下几点入手
一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等
二、制定并实施网络安全日常工作程序，包括监测上网行为、包括入侵监测
三、从技术层面上，你那里估计是一根专线接入后用交换机或者无线路由器DHCP分配IP地址供大家上网，这样的话你做不到上网行为管理，你需要一台防火墙进行包过滤以及日志记录 或者作一台代理服务器进行上网行为管理并进行日志记录。
四、局域网内计算机系统管理 包括操作系统防病毒 更新补丁等工作 堡垒往往是从内部攻破 内部计算机中毒主动向外发送数据，造成泄密 这已经是很常见的事情 所以做好主机防护很重要。

当然 如果您有钱 黑洞系统 入侵监测 漏洞扫描 多级防火墙 审计系统都可以招呼
最后提醒一点 那就是 没有绝对的安全 安全都是相对的
你需要什么级别的安全 就配套做什么级别的安全措施
管理永远大于技术 技术只是辅助手段

具体有什么问题 请更新问题 我会再来回答 或者用Bai Hi来联系我
只是我不定期在

‘捌’ 网络安全解决方案

方案分为安全技术部分和安全管理部分。
安全技术部分：
1.物理安全
需要建设独立的计算机机房，满足防水、防火、防静电等要求。机房设置门禁和视频监控。
2.网络安全
采用防火墙进行安全区域分割，把公司网络分为服务器区和办公区。设置不同的安全规则以防范黑客攻击。采用上网行为管理产品对网络行为和流量进行管控。
3.系统安全
采用终端安全管理系统，对客户端进行管控，重点管控网络行为、补丁升级和软件分发等。对服务器进行安全加固，保障服务器安全。
4.应用安全
对Web电子商务服务器进行漏洞扫描和加固，防范SQL注入等应用攻击，必要时采用Web防护系统（Web防火墙、防篡改）。对数据库的操作行为进行审计。
5.数据安全
对数据库和关键系统进行定期备份，并做好应急措施。
安全管理部分
首先要建立网络安全负责制，由公司主要领导挂帅。建立机房安全管理制度，服务器安全运维制度，计算机终端安全使用规范，与员工签订网络安全协议，提供员工网络安全意识。

‘玖’ 关于企业网络安全防范措施有哪些

常见的企业网安全技术有如下一些。

VLAN(虚拟局域网)技术 选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络，它依*用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息。

网络分段 企业网大多采用以广播为基础的以太网，任何两个节点之间的通信数据包，可以被处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接人以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。

硬件防火墙技术 任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

入侵检测技术 入侵检测方法较多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。

‘拾’ 网络安全技术措施

最佳的解决方案

1.安装瑞星杀毒或卡巴斯基等杀毒软件，实时清除电脑木马病毒；

2.安装个人硬件防火墙，简单使用，实时监控且能100%防御黑客攻击，又不会影响电脑出现卡机等现象。

目前此类产品中阿尔叙个人硬件防火墙做比较专业，价格还算能接受

在设置一个网络时，无论它是一个局域网（LAN）、虚拟LAN（VLAN）还是广域网（WAN），在刚开始时设置最基本的安全策略非常重要。安全策略是一些根据安全需求，以电子化的方式设计和存储的规则，用于控制访问权限等领域。当然，安全策略也包括一个企业所执行的书面的或者口头的规定。另外，企业必须决定由谁来实施和管理这些策略，以及怎样通知员工这些规则。安全策略、设备和多设备管理的作用相当于一个中央安全控制室，安全人员在其中监控建筑物或者园区的安全，进行巡逻或者发出警报。那什么是安全策略呢？所实施的策略应当控制谁可以访问网络的哪个部分，以及如何防止未经授权的用户进入访问受限的领域。例如，通常只有人力资源部门的成员有权查看员工的薪资历史。密码通常可以防止员工进入受限的领域。一些基本的书面策略，例如警告员工不要在工作场所张贴他们的密码等，通常可以预先防止安全漏洞。可以访问网络的某些部分的客户或者供应商也必须受到策略的适当管理。谁又能来实施管理安全策略呢？制定策略和维护网络及其安全的个人或者群体必须有权访问网络的每个部分。而且，网络策略管理部门应当获得极为可靠，拥有所需要的技术能力的人员。如前所述，大部分网络安全漏洞都来自于内部，所以这个负责人或者群体必须确保其本身不是一个潜在的威胁。一旦被任命，网络管理人员就可以利用复杂的软件工具，来帮助他们通过基于浏览器的界面，制定、分配、实施和审核安全策略。你想怎样向员工传达这个策略呢？如果相关各方都不知道和了解规则，那规则实际上没有任何用处。为传达现有的策略、策略的更改、新的策略以及对于即将到来的病毒或者攻击的安全警报制定有效的机制是非常重要的。