企业网网络安全设计

A. 中小企业如何进行网络信息安全建设(1)

网络是企业信息化的基石，而网络信息安全则成为网络运用的障碍。企业对网络的利用率低，不仅仅是网络带宽的问题，更多的是考虑到网络安全的问题。因为害怕在网络上会出现这样或那样的问题，而不愿或不敢在网络上运行可以信息化的业务系统，而继续使用传统的或手工的方式来完成繁重的业务工作。
对于网络信息安全有两个普遍的观点：其一是“三分技术，七分管理”，说的是网络信息安全主要靠管理手段来保障，技术对网络信息安全的贡献只占三成；其二是“木桶原理”，说的是网络信息安全由一些基本的安全因素构成，这些安全因素中最脆弱的哪一部分将成为网络信息安全的最大威胁。
中小企业建设网络信息安全的内容
网络信息安全的实质是：保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们能正常发挥作用，保障系统能够安全可靠地工作。
网络信息安全大体上可以分为：物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人的因素等几个方面。
对网络信息常采用的攻击手段有：窃取机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战等几大类。
针对中小企业网络信息安全建设，主要包括以下几个内容：
（1）物理安全：主要包括机房和配线间的条件、自然灾害、人为破坏、信息入侵等，进一步可以分为如下一些方面：
◆ 机房和配线间的电源、接地、防雷、防潮、防盗、防火、防尘、防鼠、温度调节、通风条件、强电流干扰等。
◆ 地震、火灾、洪水、台风等。
◆ 人为误操作、有意破坏信息系统或通信线路或设备、恐怖活动、战争等。
◆ 线路搭听、从网络入口处侵入网络等。
（2）计算机硬件和软件的资产安全：主要包括计算机硬件不被替换或者移走，所使用的计算机软件是否存在版权问题，是否使用了不允许使用的软件等。
（3）网络体系结构安全：主要包括如下一些内容：
◆ 相对独立的局域网的拓扑结构不存在环路。
◆ 通信线路通信性能上不存在瓶颈。
◆ 通信线路某一部分故障影响的范围尽可能小。
◆ 通信网络设备故障影响的范围尽可能小。

B. 如何才能保障企业内网安全

1、注意内网安全与网络边界安全的不同

内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻 击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击 事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时 建立并加强内网防范策略。

2、限制VPN的访问

虚拟专用网(VPN)用户的 访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位 VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服 务器或其他可选择的网络资源的权限。

3、为合作企业网建立内网型的边界防护

合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入 内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此，既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个 DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问。

4、自动跟踪的安全策略

智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现状需要 企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与 该计算机对话的文件服务器。总之，要做到确保每天的所有的活动都遵循安全策略。

5、关掉无用的网络服务器

大型企业网可能同时支持四到五个服务器传送e-mail，有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服 务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用 的，关掉该文件的共享协议。

6、首先保护重要资源

若一个内网上连了千万台 (例如30000台)机子，那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样，首先要对服 务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行 限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。

7、建立可靠的无线访问

审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。将访问点置于边界防火墙之外，并允许用户通过VPN技术进行访问。
8、建立安全过客访问

对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。

9、创建虚拟边界防护

主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企 业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此 要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间 的边界防护。

10、可靠的安全决策

网络用户也存在着安全隐患。有的用户或 许对网络安全知识非常欠缺，例如不知道RADIUS和TACACS之间的不同，或不知道代理网关和分组过滤防火墙之间的不同等等，但是他们作为公司的合作 者，也是网络的使用者。因此企业网就要让这些用户也容易使用，这样才能引导他们自动的响应网络安全策略。

另外，在技术上，采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。

C. 企业网络安全该怎么做

★ 您的企业是否总是担心公司内部的各种技术机密和商务秘密通过计算机的电子文档泄漏出去？
★ 若泄漏是否会直接影响企业生存和发展？
★ 您的企业是否总有人员流动？
★ 原工作人员是否将工作涉及的文档都通过U盘或电子邮件拷贝走了？
★ 现在的工作人员是否有可能将各种机密泄漏给竞争对手？
★ 工作人员离职后是否变成了企业的竞争对手？
★ 您的企业把USB端口、光驱、软驱、互联网、计算机后盖全都封住了就能保证电子文档不会泄漏出去吗？
商场如战场，波谲云涌。身处其中的企业在日益激烈的商场竞争中不仅要应对来自竞争对手的挑战，还要面对企业内部的各种业务，因此承载企业重要商业信息的文件就在交错纷杂的商场风云下面临着各种安全隐患。没有进行加密防护的文件犹如一个诱人的苹果，谁都能轻易咬上一口。那么在这个没有硝烟的战场中，让域之盾加密软件坐镇文件安全，才能让企业放下包袱，轻装上阵。域之盾系统功能全面，可有效保护企业数据安全
1. 透明加解密
系统根据管理策略对相应文件进行加密，用户访问需要连接到服务器，按权限访问，越权访问会受限，通过共享、离线和外发管理可以实现更多的访问控制。
2. 泄密控制
对打开加密文档的应用程序进行打印、内存窃取、拖拽和剪贴板等操作管控，用户不能主动或被动地泄漏机密数据。
3. 审批管理
支持共享、离线和外发文档，管理员可以按照实际工作需求，配置是否对这些操作进行强制审批。用户在执行加密文档的共享、离线和外发等操作时，将视管理员的权限许可，可能需要经过审批管理员审批。
4. 离线文档管理
对于员工外出无法接入网络的情况可采用系统的离线管理功能。通过此功能授权指定用户可以在一定时间内不接入网络仍可轻松访问加密数据，而该用户相应的安全策略仍然生效，相应数据仍然受控，文档权限也与联网使用一样。
5. 外发文档管理
本功能主要是解决数据二次泄密的威胁，目的是让发出的文档仍然受控。通过此功能对 需要发出的文件进行审批和授权后，使用者不必安装加密客户端即可轻松访问受控文件，且可对文件的操作权限及生命周期予以管控。

6. 审计管理
对加密文档的常规操作，进行详细且有效的审计。对离线用户，联网后会自动上传相关日志到服务器。
7. 自我保护
通过在操作系统的驱动层对系统自身进行自我保护，保障客户端不被非法破坏，并且始终运行在安全可信状态。即使客户端被意外破坏，客户端计算机里的加密文档也不会丢失或泄漏。

D. 如何设计网络安全

网络安全对没用的人没计安全，对求助的人不能现只。

E. 基于安全策略的企业网络设计的探讨

目前,网络安全的技术主要包括防火墙技术、加密技术、身份验证、存取控制、杀毒软件、数据的完整性控制和安全协议等内容。针对校园网来说,存在较大的成本投入问题,不可能将所有的安全技术应用到网络中,在网络规划阶段可以针对最主要的安全问题进行设计防范。在网络设计阶段可以采取防火墙技术、VLAN技术、杀毒软件、网站过滤技术等。

楼主可以就上述技术在网络规划设计阶段如何进行设计进行探讨。

以下参考！！！！！！！！！！！！

引言
信息技术日新月异的今天，网络技术发展迅猛，信息传输已经不仅仅局限于单纯文本数据，数字数据
的传输，随之而来的是视频，音频等多媒体技术的广泛运用。随着技术的发展，网络设备性能和传输介质容量有了极大的提高，但是由于用户需求的日益提高，网络环境的日益复杂，使得网络规划成为一项越发困难的课题，作为校园园区网的规划成败与否，将直接影响到学校教育网络系统性能的高低，从而影响教学进程和教学效果，下面主要对校园园区网的规划思想进行探讨。

1． 校园园区网规划介绍
校园园区网规划是校园网进行工程组网的前期准备工作，它的内容涉及到整项网络工程的重要步骤，是网络设计的核心与灵魂，校园园区网优良的长远规划和最佳的实现选择是校园网长期高效能运营的基础。目前，校园园区网中技术应用主要为辅助管理，教学科研，internet信息服务，以及网络技术探索应用四大类，由于总体的规划所涉及到的技术因数繁多，因而校园园区网规划应当实地考察，调研，通过反复论证，结合当今技术及发展方向，提出总体规划设想，规划既要适应当前的应用，又要反映未来需求，规划应当考虑经济，环境，人文，资源等多方面因素，以合理需求为原则。

2． 校园园区网规划实施计划
2．1 了解用户，收集信息
网络规划的目的在于收集一线信息的基础上给出合理可行的设计方案，如战场指挥，运筹帷幄，决
胜千里，其关键之处在于广泛收集信息，全面合理的规划校园园区网需认真考虑三点因素：
（1）学校历史网络资源信息，当前网络规划设计计划，领先的技术方向，运营机制和管理办法，满足未来网络的高度扩展计划及其特点
（2）了解学校校园网络的使用者分别是谁？他们各自的知识层次如何？以及他们对计算机的使用观点和使用频率如何？他们对当前的网络态度和看法如何？这一点将为日后培训和安排多少人员进行网络的技术支持和维护起导向作用。
（3）明确网络规模：有哪些校区，哪些部门，多少网络用户，哪些资源需要上网，采用什么档次的设备而又在资金预算范围内，不同部门之间的信息流向问题，不同时刻网络流量及流量峰值问题，确定网络终端数量及位置，共享数据的存储位置和哪些人要用这些数据等基本状况等
（4）找出用户与用户，用户与资源，资源与资源之间的内在关系，相关信息，这是校园网设计的前提和依据，是规划的核心思想，作为一个庞大的校园网，如何使得设计的网络便于教学需求和管理应用，教学网与管理网各自安全运作，相互兼容，而又不矛盾？这一点尤为重要。
2．2 分析需求，提出网络设计原则
2．2．1 需求分析
教育行业有着自身的特殊性，校园园区网对整个网络性能要求相对较高，校园园区网组建需满足对数字，语音，图形图象等多媒体技术的宽泛应用，以及综合科研信息的传输和处理需求的综合数字网，并能符合多种协议的要求，其体系应当符合国际标准（如TCP/IP协议，Novell IPX协议等），同时能兼容已有的网络环境，因此设计组网前，应对各方面需求总结归纳，做出细致分析：
（1）内部光缆主干需求：规划需分析综合布线系统及其子系统，主配线间MDF与二及配线间IDF的位置，不同类别的服务器位置等。
（2）应用管理需求：能够让管理人员从繁琐的文字处理中彻底解脱出去，以计算机信息系统交流和日常事物，构建公文系统，日常办公系统，档案系统，电子邮件等功能，且需操作简单，便于使用。满足视频点播，语音教学，多媒体课件等教学需求，具备基本的Internet访问等。
（3）网络流量需求：要求校园园区网有足够的网络吞吐量来满足教学任务，保证信息的高质高效率传输，校园网流量涉及到，语音教学，多媒体课件，服务器访问，Web浏览，视频点播等，对带宽需求和时延性要求极高。
（4）网络安全需求：校园网络必须有完善的安全管理机制，能够确保网络内部可靠运行，还要防止来自外部的和来自内部的非法访问和入侵，保证关键数据库的存储安全
2．2．2 提出设计原则
（1）网络可靠性原则：
网络设计过程中网络拓扑应采用稳定可靠的形式，如：双路由网络拓扑，环行网络结构。因为它们即可冗余备份，安全性又可以得到保障，核心层交换可采用高端交换设备和光纤技术的主干链路（TRUNK）来实现较高的容错性，这样就可以避免单点故障的出现，网络结构使用双链路，双核心交换设备，双路由备份可靠措施，都可以使校园网可靠性和实用性得到大大的提高
（2）网络可扩展性原则：
校园园区网扩展性包含2层意思（一）：新的教学部门能简单的接入现有网络 （二）：升级新技术的应用能够无逢的在现有网络上运行
可见，规划校园园区网络时不但要分析当前的技术指标，而且要对未来的网络增长情况做出估计和预算，以满足新的需求，保证网络可靠性，从而保证校园正常的教学秩序
（3）网络实用性和可管理性原则：
校园园区网系统设计在性能价格比方面要体现系统的实用性，可采用先进的设备，但有要在资金允许的条件下实现建网的目标，校园园区网应基于简单网络管理协议（SNMP），并支持管理信息库（MIB），利用图形化，可视化管理界面和操作方式，易于管理，这也正体现出了实用性原则，合理的网络规划策略，可提供强大的管理
功能，能使管理一体化进行，这就便于日后的校园网更新与维护
（4）网络安全性原则
1.对物理层及网络拓扑结构，操作系统及应用软件要求具备相应的安全检测机制，边界网关应该构筑防火墙，安装杀毒软件，对网关路由器进行必要的安全性过滤，如访问控制列表ACL配置，用户身份认证，数据加密，密钥等技术来实现校园园区网的安全化
2.采用静态虚拟局域网技术（静态VLAN）加强内网的管理，因为VLAN是基于逻辑划分而非物理地理划分，这就有效的控制了各个网段的相互访问，从而保证了内网的安全性，同时VLAN又可抑制不必要的广播，从而节约了带宽，又便于管理
3.以TCP/IP四层网际模型为框架建立持续过程的网络安全性措施运行机制，做到维护网络，监测网络，测试网络，改进网络四位一体的网络持续性保卫工作，它是网络安全性管理的核心思想，如图所示：

应用层

传输层

网际层
internet层

网络接入

图（1）以TCP/IP模型构建持续性网络安全管理方式
3． 总结失败项目，明确网络规划的必要性
当前很多学校纷纷建立自己的校园网，但由于组网设计前期规划工作做的不彻底，不扎实，使得校园
网发挥效益不大，巨大的投资没有换来实实在在的成效收益。这一点在中小学校园网建设上体现的较为明显，其原因主要三点：
（1）认识不到为
学校对校园网概念定义缺乏认识，带有盲目性和自我偏见性，没有明确建校园网的目的，不晓得校
园网到底起什么样的实质性作用。
（2）投资方案不合理
由于对校园园区网建设认识不正确，使得很多学校出现“重硬件，轻软件”的现象，结果校园园区网建设成了基于硬件设备的校园网组网解决方案，是纯粹的设备集合。而对建网后的维护极不重视，后期的管理投入所占比例微乎其微，所以使得校园网不能很好的服务与教学和管理，甚至还会使整个网络趋于崩溃。
（3）缺乏有效的组织管理和实施手段
校园园区网的建设不仅仅涉及到技术问题，还会引起更深层次的变革，而学校在建设校园园区网时，认识不充分，在新技术，新思想面前不能及时转变观念，没有行之有效的组织管理和实施手段。
基于上述三点指出：盲目的进行校园网建设，不采取合理的规划，都会导致校园网建设失败，一个成功的校园网规划应当是集稳定开放的网络平台，量身定制的应用软件，有效的组织实施方案三位于一体的的校园园区网建设过程。

4． 总结
校园园区网应顺应时代教育思想的革命，在网络技术上具备响应的本质特征，教育的一个基本特征是打破时间和地域的限制，面向全体社会成员，这就要求规划校园园区网络时必须站的高，看的远，时刻明确思想定位和技术定位，本文主要探讨了如何行之有效的规划一个满足教学，科研，管理全方面高效新型校园园区网，并指明规划思想。总之，未来校园园区局域网的规划目标，规划方向应该是建成一个集IP服务，宽带光传输且提供服务的运营级多功能网络

参考文献：[1]王竹林等 . 校园网组网与管理<M> 清华大学出版社 . 2001出版
[2]思科网络技术教程（三. 四）学期 人民邮电出版社 2002出版
[3]http://www.net130.com.cn
[4]方东权 . 杨岿 . 校园网络安全与管理[J]. 网络安全与技术 2005第51期

F. 公司网站安全怎么做

一、建站初期

建站初期，你的网站是没有行使价值的，一般网站很安全，当你的网站做大了，有许多用户访问的时候，众多不安全因素就出来了。

1、就是选择空间的问题上面。如果你想把企业网站做大那么一定要选一个安全稳定的空间商，就算价格高一点，只要安全稳定就是最值的。假如你是做一个站扔一个站的人就不用考虑这么多了，最便宜的就是适合的。

2、网站的程序。网站的编写语言一定要选用安全的语言，网站后台一定要安全。

3、网站的数据库。网站的信息资料都是要存到数据库里面的，所以网站的数据库很重要，网站的用户信息一定要加密。

二、运行阶段

1、定期排查网络情况。网站所放置的服务器除了要选择有信誉的机房外，网络连通性和网络状况需要定期检查。由于网站受黑客攻击的情况具有突发性和密集性，所以定期的网站状态报告就尤为重要。这里所指的网站状态报告不同于我们常说的网站流量报告等反映用户流量的report，而是指对于网站的网络连通性和负载状况的汇报。虽然管理员不一定具备网络工程师对于报告的分析能力，但是直观的数据报表和对异常情况的检测报告，还是能够发现网站是否处于异常状态。

2、及时备份网站数据。网站的数据也是网站安全的一大重点。每月一次，甚至每周一次的数据库备份对于网站发生异常后的数据恢复非常有必要。对于电子商务类型的网站，由于用户数据每天都有更新，数据库要做到日备份，最大程度的保证宝贵的用户数据资源不会被丢失。

3、后台管理的权限分配。由于企业的网站管理员可能有多个，而且人员具有流动性，因此为保证站点内容不会被人为的误操作，以及保证网站内容的正确性，在网站后台的制作中，应当对后台的管理设置权限模块，为网站的内容设立不同的权限管理角色。这样的话，网站后期运营过程中，就可以安排不同的工作人员对网站进行合理的管理，且只有超级管理员才拥有最高的权限，能够保障网站内容不会轻易被更改，或者误删除。

4、企业内部的安全性。公司的电脑一定要安全，公司的内部员工一定要素质高点的，同时保证企业员工所使用电脑的安全性，否则员工在登陆后台时容易造成网站被黑客攻击。一旦网站的服务器出现故障导致无法访问，或者遭到黑客攻击，那么，不仅仅妨碍企业用户对网站的正常访问，而且还会影响企业网站品牌的形象，甚至流失潜在的客户资源。

G. 如何给公司网站防护，构建企业网络安全防护

建议楼主可以试试360企业版。360企业版 = 360安全卫士 + 360管理控制中心， 360管理控制中心为企业集中管理内网电脑搭建了一个全能平台， 在统一的平台上满足了广大企业对于集中杀毒，体检，打补丁的迫切需求。

H. 学校或者企业网络安全规划设计的方案

学校或者企业如果是要对电脑进行集中管理，保证其电脑使用效率的话可以从上网行为方面去着手，也可以通过实时屏幕快照对员工电脑进行实时了解，或者是用域之盾进行屏幕录像，能够对员工电脑的各方面上网行为进行管理，比如聊天、看视频及浏览网页等行为进行具体的设置，这样就能够保证学生或者是员工在电脑上的使用效率；额。

I. 毕业设计 企业网网络安全设计的前言

摘要在图片中打开查开吧