前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全培訓方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全培訓方案范文

大慶油田采油二廠作業區計算機網絡安全存在如下問題: 網絡病毒泛濫、來自黑客攻擊、信息丟失、服務被拒絕等。另外作業區采用的是對等網網絡系統， 系統漏洞補丁不能自動下載、分發、安裝， 使用的是固定IP 地址， 更容易受到攻擊。為此確定了以下幾個必須考慮的安全防護要點: ①采用域管理網絡系統方式; ②由于網絡協議本身以及網絡產品設計上的缺陷， 使病毒及非法訪問有了可乘之機， 并且新的漏洞不斷被發現， 評估網絡安全性可提高信息網絡抗風險能力; ③保證每臺上網的計算機都安裝防病毒軟件， 是計算機網絡安全工作的重要環節之一; ④作業區內部網絡與外部網絡之間安置防火墻進行有效地隔離是必要的; ⑤增加對網絡的監控機制可以規范網絡訪問行為， 進一步完善網絡安全策略， 提高網絡安全防御能力。

2. 網絡安全整體規劃

(1) 網絡安全目標: ①防止病毒、黑客對網絡系統的破壞; ②保證網絡數據的安全性， 將網絡系統風險降到最低; ③在異常訪問情況下， 保證系統正常運行; ④在網絡管理傳輸時數據不被修改和不被竊取; ⑤規范網絡訪問行為， 正確確定安全策略及科學的安全風險評估; ⑥保證系統滿足提供其它增值服務的需要; ⑦為客戶不間斷(7 ×24) 、全天候、多方位的滿意服務。

(2) 安全方案設計原則。從現網絡系統的整體角度考慮安全項目， 制定有效、可行的安全措施，建立完整的網絡安全防范體系。

3. 網絡安全方案

網絡安全評估方案針對作業區目前的網絡結構和計算機系統分布， 實施全面的網絡安全評估。

通過漏洞掃描、系統評估等技術定期對網絡硬件系統、網絡軟件平臺、網絡數據、網絡通信及網絡管理等5 個層次進行全面的安全隱患和脆弱性分析， 全面給出每個層次的安全隱患、脆弱性報告以及安全性整改建議， 為信息安全決策和管理提供依據。

(1) 網絡防病毒方案。采用網絡版防病毒軟件， 保證病毒庫及時更新， 從而防病毒更有效。

(2) 防火墻隔離方案。邊界采用高速硬件防火墻， 防止來自外部的非法入侵、攻擊。

(3) 網絡入侵檢測系統。入侵檢測機制能夠對網絡系統各主要環節進行實時檢測， 以便能及時發現或識別攻擊者的企圖。當發現異常時， 網絡系統及時做出適當的響應， 通知網絡管理員。在作業區網絡與Internet 網絡之間設置入侵檢測系統， 它與防火墻聯動并行接入網絡中， 監測來自Internet 、作業區內網的攻擊行為。當有入侵行為時， 主動通知防火墻阻斷攻擊源。

(4) 網絡管理系統及系統結構。采用域管理模式， 使管理員可以全網監視， 也可遠程實時管理網絡， 將固定IP 改為虛擬IP ， 實現系統漏洞補丁的自動下載、分發及安裝， 從而保證網絡內計算機系統的及時更新。

(5) 網絡安全服務體系方案。通過網絡安全公司工程師對網絡安全風險評估結果和建設性意見，對網絡進行脆弱性修補， 以提高作業區的網絡安全: ①對實體的修補和改造; ②對平臺的修補和改造; ③對數據安全性的修補和改造; ④對通信安全性的修補和改造; ⑤對管理機制的完善。網絡安全跟蹤服務: ①全程跟蹤服務; ②7 ×24 小時技術支持服務; ③重大疫情的公告; ④緊急救援服務; ⑤定期檢測和審計。

網絡安全信息服務: 網絡安全公司為作業區網絡實時提供世界上最新出現的安全漏洞和安全升級、病毒疫情通告， 保證作業區網絡安全體系達到與當月世界最新安全技術的同步。

網絡安全培訓服務: 通過專業的培訓將使作業區網絡管理人員對反病毒、反黑客的意識和產品的使用達到一個全新的層次。

第2篇：網絡安全培訓方案范文

Crowd Research調查了35，000多個信息安全社群的網絡安全專業人士。盡管工作負載繼續迅速轉移到云服務，安全問題仍然非常嚴重。1/3的企業將增加云安全預算。目前，云環境比以往更需要安全培訓、專業人士和創新的安全工具。

報告亮點：

云計算已經成為應用、服務和基礎設施交付主流，對云安全的擔憂仍然居高不下。受訪者最擔心的云安全問題是防范數據丟失(57%)、數據隱私威脅(49%)和保密違規(47%)。

遷移到云帶來新的安全挑戰，需要新的技能。為了解決這些問題，53%的企業希望培訓目前的IT雇員，其次是與托管服務提供商合作(30%)、利用軟件解決方案(27%)和聘用專業人員(26%)。

隨著越來越多的工作轉移到云端，企業已經意識到傳統的安全工具不是針對云計算的(78%)，無法解決云安全挑戰。因此需要專門為云計算設計的安全管理和控制解決方案，以防范數據泄露。

可視化云計算基礎設施是受訪者最頭疼的安全管理任務(37%)。其次是合規(36%)和制定一致的安全政策(33%)。

第3篇：網絡安全培訓方案范文

關鍵詞：電力制造企業；計算機網絡；安全

一、安全風險分析

電力制造企業計算機網絡一般都會將生產控制系統和管理信息系統絕對分隔開來，以避免外來因素對生產系統造成損害，在生產控制系統中常見的風險一般為生產設備和控制系統的故障。管理網絡中常見的風險種類比較多，通常可以劃分為系統合法用戶造成的威脅、系統非法用戶造成的威脅、系統組建造成的威脅和物理環境的威脅。比如比較常見的風險有操作系統和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒（濫用授權）、電源中斷、通信中斷、軟硬件故障、計算機病毒（惡意代碼）等，上述風險所造成的后果一般為數據丟失或數據錯誤，使數據可用性大大降低。網絡中的線路中斷、病毒發作或工作站失效、假冒他人言論等風險，會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大，因此生產控制系統和管理系統之間盡量減少物理連接。當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式，一般采用防火墻或專用隔離裝置。

二、安全需求分析

一般電力制造企業的安全系統規劃主要從安全產品、安全策略、安全的人三方面著手，其中安全策略足安全系統的核心，直接影響安全產品效能的發揮和人員的安全性（包括教育培訓和管理制度），定置好的安全策略將成為企業打造網絡安全最重要的環節，必須引起發電企業高度重視。安全產品主要為控制和抵御黑客和計算機病毒（包括惡意代碼）通過各種形式對網絡信息系統發起的惡意攻擊和破壞，是抵御外部集團式攻擊、確保各業務系統之間不產生消極影響的技術手段和工具，是確保業務和業務數據的完整性和準確性的基本保障，需要兼顧成本和實效。安全的人員是企業經營鏈中的細胞，既可以成為良性資產又可能成為主要的威脅，也可以使安全穩固又可能非法訪問和泄密，需要加強教育和制度約束。

三、安全思想和原則

電力制造企業信息安全的主要目標一般可以綜述為：注重“電力生產”的企業使命，一切為生產經營服務；服從“集約化管理”的企業戰略，樹立集團平臺理念；保證“信息化長效機制和體制”，保證企業生產控制系統不受干擾。保證系統安全事件（計算機病毒、篡改網頁、網絡攻擊等）不發生，保證敏感信息不外露，保障意外事件及時響應與及時恢復，數據不丟失。（1）先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素，它們是設計信息安全方案所必須考慮的，是制定信息安全方案的策略和技術實現的基礎。要選擇相應的安全機制，集成先進的安全技術，形成全方位的安全系統。（2）嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業、單位應建立相應的網絡管理辦法，加強內部管理，建立適合的網絡安全管理系統和管理制度，加強培訓和用戶管理，加強安全審計和跟蹤體系，提高人員對整體網絡安全意識。（3）嚴格的法律法規是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規，加強安全教育和宣傳，嚴肅網絡規章制度和紀律。對網絡犯罪嚴懲不貸。

四、安全策略與方法

1、物理安全策略和方法。

物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計，包括建設符合標準的中心機房，提供冗余電力供應和防靜電、防火等設施，免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度，防止非法人員進入機房進行偷竊和破壞活動等，并妥善保管備份磁帶和文檔資料：要建立設備訪問控制，其作用是通過維護訪問到表以及可審查性，驗證用戶的身份和權限，防止和控制越權操作。

2、訪問控制策略和方法。

網絡安全的目的是將企業信息資源分層次和等級進行保護，主要是根據業務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離，由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內，提高網絡的整體安全水平，目前路由器、虛擬局域網VL心、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統內資源的分等級和層次使用，是防止非法訪問的第一道防線。訪問控制主要手段是身份認證，以用戶名和密碼的驗證為主，必要時可將密碼技術和安全管理中心結合起來，實現多重防護體系，防止內容非法泄漏，保證應用環境安全、應用區域邊界安全和網絡通信安全。

3、開放的網絡服務策略和方法。

Internet安全策略是既利用廣泛、快捷的網絡信息資源，又保護自己不遭受外部攻擊。主要方法是注重接入技術，利用防火墻來構建堅固的大門，同時對Web服務和FTP服務采取積極審查的態度，更要強化內部網絡用戶的責任感和守約，必要時增加審計手段。

4、電子郵件安全策略和方法。

電子郵件策略主要是針對郵件的使用規則、郵件的管理以及保密環境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現象越來越多，迫使防范技術快速發展，電力制造企業可以在電子郵件安全方案加大投入或委托專業公司進行。

5、網絡反病毒策略和方法。

每個電力制造企業為了處理計算機病毒感染事件，都要消耗大量的時間和精力，而且還會造成一些無法挽回的損失，必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發展到了到實時監控，并且針對特殊的應用服務還出現了相應的防毒系統，如網關型病毒防火墻以及郵件反病毒系統等。

目前，計算機網絡與信息安全已經被納入電力制造企業的安全生產管理體系中，并根據“誰主管、誰負責、聯合保護、協調處置”的原則，實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針，在建立健全電力制造企業內部信息安全組織體系的同時，制定完善的信息安全管理措施，建立從上而下的信息安全培訓體系，根據科學的網絡安全策略，采用適合的安全產品，確保各項電力應用系統和控制系統能夠安全穩定的運行，為電力制造企業創造新業績鋪路架橋。

參考文獻

第4篇：網絡安全培訓方案范文

關鍵字：企業網絡   醫院網絡   網絡安全   網絡體系  技術手段

前言：

隨著信息技術的高速發展，互聯網越來越被人們所重視，從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高，網絡在企業中所處的位置也越來越重要，系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。

 

一、醫院網絡安全存在的風險及其原因

1.自然因素：

1.1病毒攻擊

   因為醫院網絡同樣也是連接在互聯網上的一個網絡，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬，阻塞正常流量，形成拒絕服務攻擊。我們清醒地知道，完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽，使得醫院網絡被病毒攻擊的頻率越來越高，所以病毒的攻擊應該引起我們的關注。

1.2軟件漏洞

任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下幾個方面：

1.2.1、協議漏洞。例如，IMAP和POP3協議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄，從而獲得超級用戶的特權。

1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下，就接受任何長度的數據輸入，把溢出部分放在堆棧內，系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令，來造成系統不穩定狀態。

1.2.3、口令攻擊。例如，U nix系統軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統，都是容易被攻擊的。

 

2、人為因素：

2.1操作失誤

操作員安全配置不當造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見，隨著網絡管理制度的建立和對使用人員的培訓，此種情況逐漸減少.對網絡安全己不構成主要威脅。   

2.2惡意攻擊

這是醫院計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅，每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范，因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。

二、構建安全的網絡體系結構

1.設計網絡安全體系的原則

     1.1、體系的安全性：設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。

     1.2、系統的高效性：構建網絡安全體系的目的是能保證系統的正常運行，如果安全影響了系統的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件，它們也會占用網絡系統的一些資源。因此，在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

   1.3、體系的可行性：設計網絡安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設計網絡安全體系的目的是指導實施，如果實施的難度太大以至于無法實施，那么網絡安全體系本身也就沒有了實際價值。

1.4、體系的可承擔性：網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持，要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。所以，在設計網絡安全體系時，必須考慮企業的業務特點和實際承受能力，沒有必要按電信級、銀行級標準來設計這四個原則，可以簡單的歸納為：安全第一、保障性能、投入合理、考慮發展。

2、網絡安全體系的建立

    網絡安全體系的定義：網絡安全管理體系是一個在網絡系統內結合安全

技術與安全管理，以實現系統多層次安全保證的應用體系。

網絡系統完整的安全體系

系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠，確保應用系統正常運行。主要包括以下幾個方面：

    (1)防止非法用戶破壞系統設備，干擾系統的正常運行。

    (2)防止內部用戶通過物理手段接近或竊取系統設備，非法取得其中的數據。

 (3 )為系統關鍵設備的運行提供安全、適宜的物理空間，確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。

    網絡安全性主要包括以下幾個方面：

    (1)限制非法用戶通過網絡遠程訪問和破壞系統數據，竊取傳輸線路中的數據。

    (2)確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

    (3)網絡通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減

第5篇：網絡安全培訓方案范文

一、電力信息網安全現狀分析

結合電力生產特點，從電力信息系統和電力運行實時控制系統2個方面，分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數據備份的概念，更沒有對網絡安全做統一，長遠的規劃，網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求，對網絡安全進行了全方位的保護，防火墻、防病毒、入侵檢測、網管軟件的安裝、VerJtas備份系統的使用，確保了信息的安全，為生產、營業提供了有效的技術支持。但有些方面還不是很完善，管理起來還是很吃力，給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

二、電力信息網安全防護方案

1.加強電力信息網安全教育

信息用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。

2.電力信息髓安全防護技術措旌

(1)網絡防火墻：防火墻是企業局域網到外網的唯一出口，所有的訪問都將通過防火墻進行，不允許任何饒過防火墻的連接。D M Z區放置了企業對外提供各項服務的服務器，既能夠保證提供正常的服務，又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略，遵循“缺省全部關閉，按需求開通的原則”，拒絕除明確許可證外的任何服務。

(2)物理隔離裝置：主要用于電力信息網的不同區之間的隔離，物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

(3)入侵檢測系統：部署先進的分布式入侵檢測構架，最大限度地、全天候地實施監控，提供企業級的安全檢測手段。在事后分析的時候，可以清楚地界定責任人和責任時間，為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術，具有高可靠性、高識別率、規則更新迅速等特點。

(4)網絡隱患掃描系統：網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP／IP協議的設備，掃描的對象包括掃描多種操作系統，掃描網絡設備包括：服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時，可以從網絡中不同的位置對網絡設備進行掃描。

掃描結束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒：為保護電力信息網絡受病毒侵害，保證網絡系統中信息的可用性，應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心，對整個網絡部署查、殺毒，服務器通過Internet從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。同時，選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。

(6)數據加密及傳輸安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，實現對文件訪問的控制。對通信安全，采用數據加密，信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過VPN技術，提高實時的信息傳播中的保密性和安全性。

(7)數據備份：對于企業來說，最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的，必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。

(8)數據庫安全：通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。

3.電力信息網安全防護管理措施

技術是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網絡安全的長期性和穩定性才能有所保證。

(1)要加強信息人員的安全教育，保持信息人員特別是網絡管理人員和安全管理人員的相對穩定，防止網路機密泄露，特別是注意人員調離時的網絡機密的泄露。

(2)對各類密碼要妥善管理，杜絕默認密碼，出廠密碼，無密碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調離時密碼一定要更新。

(3)技術管理，主要是指各種網絡設備，網絡安全設備的安全策略，如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。

(4)數據的備份策略要合理，備份要及時，備份介質保管要安全，要注意備份介質的異地保存。

(5)加強信息設備的物理安全，注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質的安全管理，備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀，特別要注意送出修理的設備上存儲的信息的安全。

三、電力信息網絡安全工作應注意的問題

(1)理順技術與管理的關系。

解決信息安全問題不能僅僅只從技術上考慮，要防止重技術輕管理的傾向，加強對人員的管理和培訓。

(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整，防止不斷改造，不斷投入。

(3)要進行有效的安全管理，必須建立起一套系統全面的信息安全管理體系，可以參照國際上通行的一些標準來實現。

第6篇：網絡安全培訓方案范文

關鍵詞： 桌面終端；安全防護體系；安全要求

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2012）0220131－01

0 前言

隨著互聯網絡和企業網絡的發展，信息傳播范圍和獲取手段發生著日新月異的變化。桌面終端在企業員工日常工作中已被廣泛使用，成為基本工具。桌面終端需要頻繁地訪問與企業生產運行密切相關的各種各樣的信息系統，大量敏感或信息存儲在桌面或移動存儲介質中。同時，來自于企業計算機網絡外部或內部的攻擊活動有增無減，變化無常，加之企業內部桌面非法接入的情況較為普遍，以及桌面安全的管理規章制度沒有切實有效的管理手段。目前企業信息安全面臨嚴峻的挑戰，如何保證桌面終端的安全，從而保證企業整體信息安全，成為日益突出的問題。同時強有力和切實可行的桌面安全管理手段，也將成為企業信息安全得以保證的基礎。

1 桌面終端的安全要求

隨著企業信息化建設的迅速發展，終端計算機數量的逐步增加，企業正常、穩定的生產及運行越加依附于企業網絡。桌面終端是企業網絡的最基本組成部分，也是管理的最薄弱環節，涉及大量敏感或數據，管理較為為復雜，往往成為信息外泄的源頭。

企業應根據自身的網絡環境，結合基本情況，統一部署防病毒系統和補丁分發系統，并定期對病毒定義文件進行升級和播發安全補丁。同時為了確保終端用戶合規接入網絡，應建立以端點準入控制系統為基礎的安全防護體系，并執行企業制定的安全策略，阻止不符合安全策略的終端用戶接入企業網絡。終端用戶的桌面安全環境需要由完善的桌面管理系統提供保障，除了利用防病毒和補丁系統，來防范和控制木馬、惡意軟件及內網的攻擊行為，還要對企業終端用戶的桌面制定相應的安全機制，確保每個接入網絡的終端用戶都符合企業安全策略，規范終端桌面的安全行為，使桌面終端工作在一個安全的防護體系中，保證企業網絡在一個安全、穩定、有較的環境中運行。

2 桌面終端安全防護體系建設

隨著信息技術應用的不斷深入，企業信息系統集中程度的不斷提高，業務對信息系統依賴程度不斷加大。現有的安全防護系統仍不能完全預防來自企業內部或外部網絡的入侵和攻擊，所以需要完善安全防護體系建設，統一建立以防病毒系統、補丁分發系統和端點準入控制系統為基礎的桌面安全防護系統，才能使主要依靠信息化應用系統的安全性得到有效保證。

2.1 防病毒系統。防病毒系統體系由總部服務器獲取最新病毒定義文件下推到各級單位，實現病毒定義文件的逐級升級。防病毒體系的統一部署，有效地防止了病毒和惡意軟件的大面積爆發，為桌面終端安全提供了強有力的保障。

2.2 補丁分發系統。補丁分發系統采用總部服務器過濾最新系統安全補丁并下發到地區公司服務器，地區公司服務器自動下發到終端用戶的總體架構方式。補丁管理系統可以幫助企業對網絡內各種軟件和應用系統進行維護和控制。克服安全漏洞并保持生產環境的穩定性。

2.3 端點準入系統。端點準入安全防護體系由總部服務器下發企業總體安全策略，地區公司接收總部策略后根據本地實際情況制定個性化策略，管理個人計算機。端點準入控制系統需要提供全面的端點保護功能，實現多層次的安全防護策略，有效應對病毒、木馬、蠕蟲等混合安全威脅，有效應對來自于互聯網和內部網絡的惡意掃描、惡意入侵等安全威脅。

2.4 桌面安全流量監控體系。通過桌面安全流量監控系統，將桌面安全事件和桌面安全技術支持團隊有機聯系在一起，建立“發現－定位－處理”循環往復的工作模式，以安全管理團隊自上而下的監督、支持和協同作戰，推動各級安全管理團隊的工作，提升管理水平，保證信息安全在桌面端少出問題，從而增強我們整體的信息安全水平。

2.5 數據文件電子加密。網絡中最有價值的是數據，而敏感或數據的安全性越來越重要。網絡安全產品大部分都集中在這些數據的，并沒有針對數據本身的安全保障提出有效的解決方案。所以建立電子文檔加密系統，可以為員工提供方便易用的文件加密工具，切實增強信息安全水平和意識，有效防止敏感信息泄漏。這對提高整體的信息安全也是切實可行的。電子文檔加密系統是為桌面用戶提供文件加密工具。加密后的文件可有效防范丟失、失竊或在網絡上傳輸時被非法常截獲等情況下的信息外泄。

2.6 系統安全審計。建立系統安全審計應為安全部門或管理員提供及時有效的一組管理數據進行分析，以發現在何處發生了違反安全方案的事件。利用安全審計結果，可調整安全政策，堵住出現的漏洞，為此，系統安全審計應該具備以下功能：

1）記錄關鍵事件：由安全相關部門統一定義違犯安全的事件，并決定將什么信息記入審計日志。

2）提供可集中處理審計日志的數據形式：以標準的、可使用的格式輸出安全審計信息，使安全官員能夠直接利用軟件工具處理這些事件。

3）實時安全報警：擴展現有管理工作的能力并將它們與數據鏈路驅動程序和安全審計能力結合起來，當發生與安全有關的事件時，安全系統就報警通知相應的部門。

2.7 加強桌面安全管理。建立嚴格遵守規章制度，依據國家法律法規根據企業本身的實際情況制定相關規章制度，讓終端用戶遵守相關制度，可以有效的減少終端安全桌面的事故發生。培養終端用戶良好的安全意識，安全意識低的必然結果就是導致信息安全實踐水平較差，所以培養終端用戶的安全意識可以防止利用終端入侵企業網絡。加強桌面用戶安全培訓，經常組織安全培訓可以提高終端用戶的安全防護知識，提升終端桌面的防御能力。

3 結語

桌面終端是企業網絡運行的基礎，也是企業信息安全最脆弱的部位，目前企業的安全防護手段不能完全的對桌面終端做到有效的安全管理，所以應該根據需求建立相應的安全體系，不僅能增加桌面終端的安全防護能力，同時也減少企業網絡面臨的安全威脅，同時應提高終端用戶的安全意識，加強安全管理。

參考文獻：

第7篇：網絡安全培訓方案范文

此次收購將進一步增強思科的安全產品組合，依托思科的“安全無處不在”戰略，為企業提供從云到網絡再到終端的全面保護。為了加強產品安全，思科在安全產品領域內還收購了Lancope、OpenDNS、Sourcefire等企業。

不僅思科在收購安全企業，很多網絡基礎設備供應商也在做類似的收購。這一現象說明了一個道理，沒有安全就沒有未來。除了在技術方面，很多IT廠商還設立一些獎學金，并且還組織一些信息和網絡安全方面的安全競賽，旨在培養相關技術人才，思科也于近期設立1000萬美元全球網絡安全獎學金計劃，并進一步增強其安全認證培訓產品。

數據是關鍵資產

為什么網絡和信息安全這么重要？這是因為網絡安全對于建立信任、提高各種敏捷性、贏取價值是至關重要的，尤其是在移動計算、物聯網領域。在這些領域里，數據是關鍵的資產，同時，物聯網應用促使聯網設備激增，設備的增多不僅意味著資金投入的增多，而且也意味著自動生成的數據的增長。

數據是一項關鍵資產，而且也是未來企業業績保持增長的非常重要的一環。每天新增大量的聯網設備，使得在物聯網時代，機器和機器的對話、人機對話、人與人之間的聯網溝通變得越來越頻繁，伴隨著這些頻繁的信息交流，安全挑戰也越來越大。

為什么這么說呢？首先，企業的安全產品可能會來自多家廠商，沒有統一的解決方案。而且在云計算環境下，惡意攻擊越來越頻繁。

其次，世界上的黑客組織越來越嚴密，有預謀的攻擊正在增長，這些攻擊有的可能是出于商業目的，有的可能是出于其他目的。企業與黑客之間的較量不僅僅是技術方面的，還包括資金實力，以及有無嚴密的防范組織等各方面的較量。

現在的網絡安全形勢非常嚴峻，有以下幾個特點：首先，安全威脅非常多，而且在高層級架構方面也存在很多風險；第二，很多黑客攻擊是直接攻擊核心業務系統，使得某個網站或者某家企業的核心業務受到影響；第三，企業面臨嚴重的人才短缺，網絡安全人才配備不足。

安全技能人才存在缺口

挑戰就擺在面前，那么企業面臨的最大問題是什么呢？

需要更多的技能嫻熟的網絡安全人才。但遺憾的是，目前具有嫻熟技能的安全人才是非常稀缺的。思科通過2015年ISACA和RSA大會上的信息系統審計與控制協會做了一個調研。調研表明，很多企業要花費很長時間才能找到合格的網絡安全應聘者：雖然45%的企業表示，它們能夠確定攻擊的范圍并避免損失，但還有超過一半以上的企業根本沒有辦法確認攻擊來自哪里、如何來避免損失； 84%的企業表示，僅僅有一半的網絡安全崗位的應聘人員能夠滿足企業的基本要求；53%的企業表示，它們至少要花半年時間才能夠找到合格的網絡安全領域應聘者。

網絡安全是企業運營的重要基礎，能夠支持企業建立信任，更快發展，贏得更多價值，實現持續增長。然而，上述調查數據顯示出，全球網絡安全專業人才數量缺口比較大，如何解決這一問題是當務之急。

為了應對網絡安全人才短缺，思科將投資1000萬美元設立一項為期兩年的全球網絡安全獎學金計劃，以培養更多具備關鍵網絡安全技能的出色人才。思科將根據網絡安全分析工程師這一行業工作崗位的要求，提供所需的免費培訓、輔導和認證考試。思科將與主要的思科授權培訓合作伙伴攜手實施這一計劃。相關培訓將著眼于彌補關鍵技能短缺，幫助學員掌握崗位所需的技能，有效應對網絡安全領域當前和未來面臨的挑戰。

思科一直致力于不斷培養安全認證方面的人才。此次思科推出全新獎學金計劃，更多的是聚焦整個行業，從更宏觀的角度看待行業人才短缺問題，并且通過思科幫助整個行業解決人才短缺問題，使得缺失的技能經過合適的培訓而彌補，產生更多人才。正是由于看到了行業的人才稀缺和需求，思科才需要助力整個行業人才的培養，這就是思科推出全球網絡安全獎學金計劃的原因。

學員覆蓋面廣但也有側重

思科全球網絡安全獎學金計劃是在今年1月份由思科CEO羅卓克在達沃斯會議上正式對全球宣布的。獎學金計劃在8月份正式實施，申請人可以正式向思科提出申請。當然，要獲取這樣的獎學金是有要求的：第一，年滿18歲或以上的成年人；第二，必須流利掌握英語，因為整個網絡環境下英語是主導語言；第三，必須具備一定的計算機知識，因為思科所有的網絡安全培訓需要受訓者掌握一定的電腦基礎知識。

為了擴大此次網絡安全獎學金計劃宣傳力度，思科正在和各種各樣的組織合作來推廣獎學金計劃，力求尋找適合學習網絡安全的人才，并且擴大網絡安全人才庫。申請者需要具備一些基本計算機網絡知識。首先，申請者可以到思科的獎學金網站上獲取詳細的信息，對思科基礎性認證有一定了解，并且對于思科網關和路由有一定的基礎知識；第二，對于操作系統，包括Windows操作系統、Linux操作系統等都應該有認證或是相關知識，這只是入門級別的一些要求；另外，如果被錄取的話，申請者獲得獎學金可以參加思科正式的認證培訓；最后，學員在學到了這些知識之后要向公眾推廣和分享網絡安全知識。

此獎學金范圍覆蓋全球，全球每一個國家、每一個地區都能參與，只要是合格的人才都可以報名參加，但思科還是有一些側重點的，思科的目的是要擴大全球網絡安全人才庫，希望能夠注入新鮮血液。思科認證培訓部產品戰略總監安東娜拉?科諾（Antonella Corno）表示：“思科鼓勵三類群體積極參與其中。 一是職場新人，那些剛剛大學畢業、初入職場的人士是未來的中堅力量，也是未來的希望，所以職場新人是思科打造全球網絡安全人才渠道過程中聚焦的其中一部分；二是女性，不管是IT行業或者是物聯網行業的女性，我們都非常歡迎，這體現了我們多元化的人才培養方向；三是退役軍人，退役軍人是指全球各個國家的退役軍人，并不僅僅是指美國的退役軍人，軍人一般都是訓練有素的，只不過他們在部隊所學到的技能在退役之后用處不大，我們希望他們通過再次培訓能夠把良好的素質和新學到的技能結合起來，進一步融入到新的職場環境中。”

當申請者申請參加思科網絡安全獎學金計劃的時候，申請人首先需要參加一個在線評估，根據評估的結果，思科會篩選哪批人是可以拿到獎學金的。只要申請者成功通過評估、獲得獎學金資格，接下來會參加為期三個月的培訓。首先參加第一門課程的培訓，通過第一門考試然后再參加第二門課程的培訓，通過第二門考試；兩輪考試全部通過之后，就能獲得CCNA網絡安全運營認證。獲得CCNA網絡安全運營認證的證書就意味著的培訓圓滿成功。

思科CCNA網絡安全運營認證是向所有人開放的，非學員也是能夠參加的。但是，獲得獎學金的學員有三個月專門學習的安排，就是針對CCNA網絡安全運營認證的學習，他們的課時費、報名費、考試費用全都由獎學金覆蓋了，不用額外再支付任何費用。

在這1000萬美元獎學金計劃中，有多少是分配給中國的？就此，筆者詢問了安東娜拉?科諾，她表示：“這個獎學金是一個完全開放的獎學金，我們并沒有針對某個國家或者某個地域劃分所謂分配比例。雖然我們剛才提到了有三類人是我們想要多支持的，像職場新人、IT女性、退役軍人等，但是我們也沒有具體劃分到底應該將多少金額劃給這三類人。所以，我們還是開放的，只要符合條件的人都能來申請，也都有可能獲得獎學金。”

認證培訓內容與時俱進

思科的認證都是針對行業的具體工作職位推出的認證，所以是非常實用和有針對性的。CCNA網絡安全運營認證是針對在網絡安全運營中心工作的工程師們推出的認證培訓。網絡安全運營中心是聚集高端人才非常重要的環境，需要大量具備嫻熟技能的優秀人才，個人在職業生涯從低往高發展過程中首先要接受入門級的認證培訓，然后一步一步向上升級，達到個人職業生涯發展的頂點，這個認證主要是培訓網絡安全分析工程師所需要的各種技能。

具體是哪些技能的培訓呢？該培訓包括監控整個網絡安全系統，檢測各項網絡安全攻擊，同時還包括收集和分析各種證據、關聯信息等，最后做到更好地協調，在攻擊后快速進行部署防范。

思科已推出全新CCNA網絡安全運營認證（CCNA Cyber Ops Certification），并更新其CCIE安全認證（CCIE Security Certification） 。

第8篇：網絡安全培訓方案范文

關鍵詞：局域網 安全 管理

隨著信息化的不斷擴展,各類網絡版應用軟件推廣應用,計算機網絡在提高數據傳輸效率,實現數據集中、數據共享等方面發揮著越來越重要的作用,網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,計算機網絡和系統的安全與管理工作就顯得尤為重要。

1、局域網安全威脅分析

局域網是指在小范圍內由服務器和多臺電腦組成的工作組互聯網絡。由于通過交換機和服務器連接網內每一臺電腦,因此局域網內信息的傳輸速率比較高,同時局域網采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數據信息的安全埋下了隱患。一般的情況下,局域網的網絡安全威脅通常有以下幾類:

1.1 核心設備自身的安全威脅

軟交換網絡采用呼叫與承載控制相分離的技術,網絡設備的處理能力有了很大的提高。可以處理更多的話務和承載更多的業務負荷,但隨之而來是安全問題。對于采用板卡方式設計的網絡設備,一塊單板在正常情況下能夠承載更多的話務和負荷,那么在發生故障時就有可能造成更大范圍的業務中斷。

目前,軟交換設備安全完全依賴廠商的軟硬件的安全設計,主要通過主備、1+1、N+1備份和自動倒換以及軟硬件模塊化設計等方式實現故障情況下的切換和隔離。但備份和倒換的可靠性無法保障:關鍵設備的倒換(特別是一些關鍵接口板)一般會影響業務或者設備運行,倒換的成功率目前無法保障,可能在緊急情況下無法順利進行倒換。

1.2 網絡層面的安全威脅

雖然單個或者區域核心節點的安全可以通過負荷分擔或者備份來保證,但是從網絡層面來看仍然存在安全隱患。在現有的軟交換網絡中,各種平臺類設備很多,而且往往都是以單點的形式存在,這些節點一旦失效,將嚴重影響網絡業務。目前網絡層面的威脅主要是重要業務節點癱瘓造成的業務中斷、擁塞和溢出,其中SHLR、通用號碼轉換(一號通平臺)等關鍵平臺的影響最大。因此,應該重視突發話務沖擊導致話務資源耗盡等現象。

1.3 承載網的安全威脅

軟交換系統的承載網絡采用的是IP分組網絡,通信協議和媒體信息主要以IP數據包的形式進行傳送。承載網面臨的安全威脅主要有網絡風暴、病毒(蠕蟲病毒)泛濫和黑客攻擊。黑客攻擊網絡中的關鍵設備,篡改其路由和用戶等數據,導致路由異常,網絡無法訪問等。從實際運行情況來看,承載網對軟交換網絡的影響目前是最大的,主要是IP網絡質量不穩定引起的。

1.4 接入網的安全威脅

軟交換網絡提供了靈活、多樣的網絡接入手段,任何可以接入IP網絡的地點均可以接入終端。這種特性在為用戶提供方便的同時帶來了安全隱患,一些用戶利用非法終端或設備訪問網絡,占用網絡資源,非法使用業務和服務,甚至向網絡發起攻擊。另外,接入與地點的無關性,使得安全事件發生后很難定位發起安全攻擊的確切地點,無法追查責任人。

正是由于局域網內在應用上存在這些獨特的特點,造成局域網內的病毒快速傳遞,數據安全性低,網內電腦相互感染,病毒屢殺不盡,數據經常丟失。根據這些存在的安全隱患,在局域網中采取如何策略進行防范呢？

2、局域網安全策略控制與管理

局域網安全的控制主要從人員和設備兩個方面進行考慮:

2.1 局域網中人的行為安全控制

安全是個過程,它是一個匯集了硬件、軟件、網絡、人員以及他們之間互相關系和接口的系統。從行業和組織的業務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的,所以必須加強工作人員的安全培訓。對局域網內部人員,從下面幾方面進行培訓:加強安全意識培訓;加強安全知識培訓;加強網絡知識培訓。

2.2 局域網的安全策略控制與管理

2.2.1 網絡系統的安全控制

為保護網絡的安全,必須對訪問系統及其數據的人進行識別,并檢查其合法身份,對進入網絡系統進行控制。訪問控制首先要把用戶和數據進行分類,然后根據需要把二者匹配起來,把數據的不同訪問權限授予用戶,只有被授權的用戶才能訪問相應的數據。入系統訪問控制為系統提供了第一層訪問控制,控制著可以登錄到服務器網絡操作系統并獲取系統資源的用戶,通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統,選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權,則它可以直接或簡接地把這種控制權傳遞給別的主體。選擇性訪問控制被內置于許多操作系統當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權。

2.2.2 網絡互連設備的安全管理

網絡中的互連設備包括集線器、交換機、路由器等設備,這些設備在網絡中起著非常重要的鏈接作用,因此,這些設備的安全性更是關系到整個網絡的關鍵命脈。實際中,一定對網絡中這些設備的登錄有嚴格的控制管理,登錄方式只能掌握在網絡的管理人員手中,網絡的管理人言要正確配置設備的參數,運行過程中,能夠順利連接局域網中的各個環節,使整個網絡運行順暢。

2.2.3 網絡終端的安全管理

目前網絡管理工作量最大的部分是客戶端安全部分,對網絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患,對于內部網絡終端安全管理主要從終端狀態、行為、事件三個方面進行防御。利用現有的安全管理軟件加強對以上三個方面的管理是當前解決局域網安全的關鍵所在。采取的手段是:利用管理系統控制用戶入網;采用防火墻技術;封存所有空閑的IP地址,啟動IP地址綁定,采用上網計算機IP地址與MCA地址唯一對應,網絡沒有空閑IP地址的策略;屬性安全控制。啟用殺毒軟件強制安裝策略,監測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

通過了對網絡中的安全進行了策略的設置,還要對網絡的運行過程中做好預防工作。

3、病毒防治策略

網絡是目前計算機病毒急速增長,種類快速增加的直接推動力,幾乎任何一種網絡應用都可能成為計算機病毒傳播的有效渠道。由于局域網中數據的共享和相互協作的需要,組成網絡的每一臺計算機都連接到其他計算機,局域網絡技術的應用為企業的發展做出了貢獻,同時也為計算機病毒的迅速傳播鋪平了道路,同時,由于系統漏洞所產生的安全隱患也會使病毒在局域網中傳播。

由此可見,病毒的侵入必將對系統資源構成威脅,影響系統的正常運行。防止病毒的侵入要比發現和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網的防病毒系統上的,主要從以下幾個方面制定有針對性的防病毒策略:

(1)增加安全意識和安全知識,對工作人員定期培訓。如果技術人員對網絡安全產品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網絡中,首先對技術人員進行專業的培訓。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執行和實施。

(2)小心使用移動存儲設備。日常工作過程中,數據的傳輸、備份,難免使用移動存儲設備,那么,在局域網中使用這些設備時,注意的問題有:使用是保證存儲設備的安全性,在使用移動存儲設備時,要做到不把病毒帶到網絡中,以防發生網絡故障,同時,也注意網絡中某臺計算機上的病毒感染移動存儲設備,防止數據的丟失。

(3)挑選網絡版殺毒軟件。目前市面上殺毒軟件比較多,但任何一個殺毒軟件都不能對所有病毒都起作用,我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設備的要求不是很高,能夠保證網絡中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現新的病毒時,病毒庫能夠第一時間更新,確保客戶端不被侵犯。最后,殺毒軟件使用比較靈活,網絡中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設置某時間點進行自動查殺。

通過以上策略的設置,能夠及時發現網絡運行中存在的問題,快速有效的定位網絡中病毒、蠕蟲等網絡安全威脅的切入點,及時、準確的切斷安全事件發生點和網絡。

4、信息化安全管理制度

局域網網絡的安全管理制度是網絡的安全運行的保障,在制定安全管理制度中,最重要的是關于網絡各種文檔的制定。其中有網絡建設方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網絡安全方案、安全策略文檔、口令管理制度、安全防護記錄、應急響應方案等等制度。實際中,通過以上各種文檔,在網絡運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。

5、結語

局域網網絡的安全控制與管理是一項長期而艱巨的任務,需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系,要具備完善的管理系統來設置和維護對安全的防護策略。

第9篇：網絡安全培訓方案范文

關鍵詞：形態煙草；內網安全；內網安全建設

Abstract: in this paper, the morphological tobacco a network security made simple introduction

Keywords: form tobacco; A network security; Internal network security construction

中圖分類號： TM727.4 文獻標識碼：A 文章編號：2095-2104（2012）

引言

隨著邢臺煙草內外網的物理隔離，直接來自Internet威脅消失了。與此同時網絡邊界部署防火墻和入侵檢測，終端計算機安裝網絡版的殺毒軟件，病毒服務器病定期升級。在這些安全設備的監控下，來自網絡外部的安全威脅大大減少。然而，邢臺煙草面臨的網絡安全形勢沒有大的好轉，而且從近幾年出現的網絡安全事件來看還有上升的趨勢。

一、煙草內網安全問題表現形式

1.大量的計算機受病毒侵害。病毒是煙草內網中最大的威脅，其出現的頻率最高、影響最廣，最嚴重的可導致信息損失。病毒主要通過邢煙FTP、內網電子郵件、可移動媒體、共享文件夾、系統漏洞等方式傳播。如果一臺計算機一旦感染了病毒，在極其短暫的時間內就能夠感染連接內網多數計算機，最為典型的是ARP病毒、Office宏病毒、U盤病毒等。病毒感染可導致網絡的不通、系統數據和文件系統的損壞。如果數據是先前積累的，則損失將是災難性的。

2.內部操作系統存在漏洞。有許多新的病毒，或者現有的病毒，利用來系統漏洞傳播病毒。很多內網的計算機，即使安裝最新的反病毒軟件，如果系統有漏洞仍然感染病毒和木馬。

3.安全自我防護意識薄弱。煙草內部網絡上的用戶為內部職工等非專業人士，大多數人對于網絡安全和問題的自我防護意識非常淡薄,對病毒、系統漏洞、蠕蟲、木馬等知道甚少，少數人員根本就不懂，一般大多采用防病毒軟件作為防護手段，自己中病毒或者木馬，全然不知。由此產生的現象是用戶的操作系統頻繁死機，或者啟動慢，或者程序反應慢，或者打不開程序等等現象,這就意味著網絡的安全存在極大的風險和隱患。

二、煙草內網安全問題原因分析

1.防范措施相對簡單的。由于受傳統防護技術和觀念的制約，沒有采取有效的防范措施來維護內網環境。在網絡邊界部署防火墻、IDS入侵檢測系統和防護設備的同時，不重視安全內部網絡管理。雖采用安全措施如：訪問控制列表（ACL）和虛擬局域網（VLAN）技術，但沒有統一的網絡管理平臺，出現網絡完全威脅不容易找到源頭。使得企業內部網絡的管理和監測計劃缺乏系統監管機制，這將導致內部網絡的安全風險不容易被發現。

2.內部缺乏一個完善的補丁管理系統。目前，我單位內外網計算機分離，有搭建統一系統升級服務的服務器，導致許多計算機尤其是Windows系統計算機漏洞不能夠及時升級，導致存在各種類型的安全漏洞。

3.網絡安全管理制度不完善，使用人員安全意識不高。煙草內網是一個特殊的網絡，雖然已建立了相應的內部網絡安全管理制度，但是不完整或不全面的，缺乏明確的責任追究機制，不能有效地規范和約束有些員工使用行為。使用人員安全意識不高，隨意使用U盤，對于出現的安全威脅不知道。出現網絡安全問題，也沒有嚴厲的懲罰措施。

4.網絡安全管理員也存在職業素養欠缺。在思想意識中只要網絡不癱瘓，就不會有其他問題；在技術方面，由于管理員的工作較多，遇到嚴重問題的處理方式就只是重新安裝系統，并不去過多思考產生的原因，另外也沒有參加系統專業培訓；在處理網絡安全問題，依賴的網絡工具比較單一。

三、煙草內網安全建設的解決方案

1.建立多層次立體縱深病毒防護體系。當前計算機病毒形式和傳播途徑日趨多樣化，因此內網的防病毒工作已經不再是單純的某一臺計算機病毒的檢測和清除，必須建立一個多層次、立體的縱深病毒有效防護體系，并且還要建立和維護病毒防護策略。內部網絡病毒防護體系要對一般用戶的客戶端和服務器進行全面防護。服務器要關閉默認的共享、關閉多余端口、采用安全的Linux操作系統等。搭建統一管理的升級服務器，通過安裝網絡漏洞掃描系統，及時發現網絡漏洞，并在網絡攻擊者掃描和利用漏洞之前予以修補。

2.建立網絡安全管理制度。實現相對安全和健全的安全管理體系是網絡安全管理的重要保證，不但要注重技術手段，而且更要注重操作人員的職業操守，盡一切可能控制和減少違法違規行為，最大限度地減少不安全因素。

3.提高網絡管理人員素質，建立統一的網絡監控。一方面為其提供專業的信息安全培訓；另一方面要給其壓力：出現大規模網絡事件，追究責任，要納入公司績效考核，督促其不斷提高個人能力。建立網絡監控系統，能夠實現對內網監控、終端管理（設備、外設、程序及上網行為的控制）、威脅預警、設備接入進行監控，還可以阻止未經允許的外來移動設備接入，防止內網信息的泄露和外來病毒、木馬等惡意程序的入侵；同時實現對內網終端的紀錄和監視，包括對程序、打印、即時通訊、文件、郵件等全方位的紀錄，實現事后查證。