公司網絡安全方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的公司網絡安全方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：公司網絡安全方案范文

關鍵詞：網絡工程；安全防護技術；思考

引言

網絡信息技術的快速普及應用極大地提高了人們的生活和工作效率，但與此同時，由于網絡信息技術自身所具有的開放性、交互性等特征，網絡工程在帶給人們巨大便捷的同時也面臨著日益嚴峻的安全問題。因而如何切實加強網絡工程安全防護，形成和發展與快速發展的網絡信息技術相適應的網絡工程安全防護能力，就成為現代社會網絡信息化建設的焦點問題之一。

1網絡工程中存在的主要安全問題

進入新世紀以來，隨著網絡工程的使用進一步走向深層次和綜合化，網絡工程中面臨的安全隱患也進一步加劇，主要表現在以下幾個方面：

1.1云端安全隱患突出

隨著以“互聯網+”、“云計算”等新興的互聯網技術的進一步普及應用，各種針對云端的病毒、漏洞等的攻擊也隨之增多，并日益威脅到云端等技術平臺的安全使用，而各種針對云端的網絡攻擊，也給目前逐漸普及應用的云計算等帶來了潛在的危害，例如2011年亞馬遜數據中心發生的宕機事故，直接導致大量業務中斷，而時隔一年之后，亞馬遜的云計算平臺數據中心再次發生宕機事故，導致Heroku、Reddit和Flipboard等知名網站和信息服務商受到嚴重影響，而這也已經是過去一年半里亞馬遜云計算平臺發生的第五次宕機事故，而隨著云計算等的進一步普及，云端安全隱患也將進一步突出。

1.2網絡安全攻擊事件頻發

網絡安全攻擊事件頻發是近年來網絡工程所遭遇的最為顯著和嚴重的安全問題之一，數據顯示，僅在2015年，全球就發生的各種網絡安全攻擊事件就超過了一萬件次，直接經濟損失高達兩千億美元，例如2015年5月27日，美國國家稅務總局遭遇黑客襲擊，超過十萬名美國納稅人的信息被盜取，直接經濟損失高達5000萬美元；2015年12月1日，香港偉易達公司遭遇黑客襲擊，導致全球超過500萬名消費者的資料被泄露，可以想見，隨著未來網絡技術的快速發展，網絡安全保護的形勢還將進一步嚴峻化。

1.3移動設備及移動支付的安全問題加劇

隨著互聯網技術的飛速發展，現代社會已經逐漸進入到了“無現金”時代，移動設備的進一步普及以及移動支付的出現使得人們的日常消費活動更為便捷，但與此同時，各種移動支付和移動設備的安全問題也隨之開始浮出水面，目前來看，移動支付過程匯總所面臨的安全問題主要體現在兩個方面：一是利用移動終端進行支付的過程中面臨著較大的安全風險，如操作系統風險、木馬植入等，二是現有的移動支付的主要驗證手段為短信驗證，這種驗證方式較為單一且安全系數較差，這些都是許多用戶對移動支付說“不”的原因之一。據中國支付清算協會的《2016年移動支付報告》顯示，移動支付的安全問題仍是未來移動支付所面臨的和需要應對的核心問題，如何進一步強化移動支付的安全“盾牌”，仍將是未來移動支付長遠發展的現實挑戰之一。

1.4網絡黑客的頻繁攻擊

網絡黑客是目前網絡工程所面臨的安全問題的根源之一，可以說，如前所述的各種網絡安全問題有很多都來源于網絡黑客攻擊，近年來，隨著網絡黑客技術的不斷發展，網絡黑客對全球網絡工程的破壞性攻擊也越來越多，且逐漸呈現出從傳統互聯網領域向工控領域進行發展以及黑客活動政治化等趨勢，例如今年年初美國總統大選就曾遭遇過網絡黑客的攻擊，所幸此次大選并未受到實質性影響。

2網絡工程安全防護技術提升的路徑分析

隨著“互聯網+”戰略的實施以及網絡安全被上升到了國家安全的高度，加強網絡工程的安全防護已經被提高到了一個前所未有的高度。而網絡工程安全防護的提升則可以說是一項較為復雜的系統性工程，除了要在資金、人力、管理等方面上繼續下功夫以外，還必須要將加強網絡工程安全防護技術的創新與改進放在一個關鍵的位置上，不斷強化網絡工程安全防護系數。

2.1合理使用防火墻技術

防火墻是網絡工程安全防護中所使用的常規性的網絡安全防護技術之一，也是目前主要應用于防護計算機系統安全漏洞的主要技術手段。一般來說，防火墻是一種位于內部網絡與外部網絡之間的網絡安全系統，同時具有訪問控制、內容過濾、防病毒、NAT、IPSECVPN、SSLVPN、帶寬管理、負載均衡、雙機熱備等多種功能，因此在利用防火墻技術來加強網絡工程安全防護時，首先必須選擇口碑良好、有市場的防火墻產品如NGFW4000、NGFW4000-UF等等，利用防火墻來進行可靠的信息過濾，另一方面，需要對防火墻進行定期升級，確保防火墻的始終處于最新版本，切實利用防火墻技術來提高網絡工程安全防護系數。圖1防火墻工作原理模型圖

2.2加強網絡工程病毒防護體系建設

計算機病毒是網絡工程所面臨著的主要安全問題之一，因此有效加強網絡工程的病毒防護體系尤其關鍵。眾所周知，計算機病毒往往具有傳染性強、傳播方式多樣、破壞性大且徹底清除的難度較高等特點，因而一旦感染很有可能導致一個局域網中的所有計算機都受到影響，尤其是在網絡工程的使用環境中，一旦感染計算機病毒將很可能導致其他的相關計算機癱瘓，這就需要企業不僅要在殺毒軟件、防火墻技術的更新等方面下足功夫，更重要的是要努力建立起多層次、立體化的病毒防護體系，同時努力搭建起便捷智能化的計算機病毒立體化管理系統，對整個系統中用戶設備進行集中式的安全管理，切實提升對計算機病毒的防護效率，嚴格確保計算機不受病毒的侵染。

2.3搭配反垃圾郵件系統

隨著互聯網技術的快速發展，電子郵件已經成為互聯網信息時代下最受歡迎的通訊方式之一，但與此同時越來越多的垃圾郵件的出現也日漸困擾著人們的正常工作，垃圾郵件不僅占用了人們的寶貴的精力和時間，更重要的是它有可能給企業帶來嚴重的損失，我國是世界上的垃圾郵件大國之一，每年垃圾郵件的接收在全球位居前列，為此，不斷提升網絡工程的安全防護需要同時搭配有先進成熟的反垃圾郵件系統，有效搭建企業內部的“郵箱防護墻”，確保企業內外部的郵件安全。

2.4強化網絡數據信息加密技術使用

針對當前網絡數據信息頻繁泄露的現實情況，加強網絡工程安全防護技術必須要努力強化網絡數據信息加密技術的使用，在實際使用過程中，可以通過對網絡工程中的相關軟件、網絡數據庫等進行加密處理，提高和強化網絡數據信息加密技術的普及使用。

3總結

總之，加強網絡工程安全防護是一項較為復雜的系統性工程，需要涉及到方方面面的技術條件乃至相應的管理、人力物力等方面的投入，更為重要的是，需要經過系統的分析從而將這些技術手段有機結合起來，使之形成一個系統，從而更好地在網絡工程安全防范中發揮整體合力，有效提高網絡工程安全防范實效。

參考文獻：

[1]鄭邦毅,蔡友芬.網絡工程安全防護技術的探討[J].電子技術與軟件工程，2016.

[2]謝超亞.網絡工程中的安全防護技術的思考[J].信息化建設，2015.

[3]陳健,唐彥儒.關于網絡工程中的安全防護技術的思考[J].價值工程，2015.

[4]彭海琴.關于網絡工程中的安全防護技術的思考[J].電子技術與軟件工程，2014.

第2篇：公司網絡安全方案范文

――獲獎感言

甘肅天梭信息安全技術有限公司（簡稱天梭）是一家專門從事網絡和網絡信息安全產品以及相關技術應用、咨詢的專業服務公司。公司擁有多名經驗豐富的行業技術顧問和技術專家，致力于網絡信息安全的推廣、咨詢、方案集成等相關服務。公司宗旨是以專業的技術、優質的服務快速響應網絡以及網絡安全的需求和技術發展，著重于政府、企業、高校、證券、金融等行業的信息安全問題。針對各行業背景的需求，不斷開發、完善安全應用系統，建立高效專業的服務體系，協助客戶規劃、制定和實施全方位的安全方案，面向各行業客戶提供專業的技術支持和個性化服務。

天梭的核心產品涉及Web應用防火墻，專利級Web入侵異常檢測技術，對Web應用實施全面、深度防御，能夠有效識別、阻止日益盛行的Web應用黑客攻擊 （如SQL注入、釣魚攻擊、表單繞過、緩沖區溢出、CGI掃描、目錄遍歷等）。

Web弱點掃描器：以Web漏洞風險為導向，通過對Web應用（包括Web2.0、JavaScript、Flash等）進行深度遍歷，以安全風險管理為基礎，支持各類web應用程序的掃描。

智能流量管理系統：作為業界領先的應用優化與流量管控解決方案，Maxnet AOS以DPI（ Deep Packet Inspect，深度包檢測）和DFI （Deep/Dynamic Flow Inspection，深度流行為檢測）技術為核心，結合帶寬自動分配算法、令牌桶算法、隨機公平隊列等技術， 能夠全面識別和控制包括P2P、VoIP、視頻流媒體、HTTP、網絡游戲、數據庫及中間件等在內的多種應用，提供虛擬帶寬通道劃分、 最大帶寬限制、保證帶寬、帶寬租借、應用優先級、Per-IP帶寬控制、Per-Net帶寬控制、隨機公平隊列等一系列帶寬管理功能，為用戶提供主動式、智能化、可視化的帶寬管理服務，為用戶應用優化與帶寬管控、流量管理以及網絡規劃提供科學的依據。

數據庫安全審計系統：運維審計與風險控制系統是一種符合4A（認證Authentication、賬號Account、授權Authorization、審計Audit）統一安全管理平臺方案并且被加固的高性能抗網絡攻擊設備，具備很強安全防范能力。作為進入內部網絡的一個檢查點，它能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷，過濾掉所有對目標設備的非法訪問行為。

第3篇：公司網絡安全方案范文

為了明天的安全

由于近年通信及網絡技術的發展速度太快，這迫使很多企業采取一個較為被動的態勢來規劃其安全策略，很多時候只能是“頭痛醫頭、腳痛醫腳”，IT系統哪里出現安全問題，就在哪里增添一件有關的安全產品，經過一段時間累積后，IT系統管理人員便需要面對一堆零散、不一定具備互操作性的安全設備，這不但增加管理工作的難度及擁有總成本（TCO），同時不能保證安全策略沒有漏洞。

Check Point 北亞區總裁曾志銘表示，企業在2007年必需部署一個具備中央管理能力的體系結構，把以前各自為政的安全產品整合起來，同時通過自動實時升級能力，把各個組件及時更新，確保它們能提供“零時間差距保護”。用戶逐漸要求安全設備供應商提供這種一應俱全、具備體系結構的安全保護，因此市場會進入一個鞏固期，大型安全設備廠商的數目將由多于10個減少至屈指可數。

企業也需要把安全保護的覆蓋面從協助網絡/系統設施抵御攻擊，擴展至保護企業的數據層，防止數據不會因故意及無意的行為而泄漏，一個實例就是為移動電腦部署一個全方位的磁盤加密保護，確保其數據不會被盜竊或丟失。曾志銘表示，數據安全已經成為日益倍受關注的問題，例如60%的信息盜竊是源于設備遺失或被偷去，在2005年2月至2006年5月期間，有超過8400萬名美國人的個人信息被泄漏。

鑒于上述兩大市場發展趨勢，Check Point把其2007年發展方針定為“PURE 安全”，力爭為客戶做到四方面到位:P （Protected）―保護基礎設施及數據; U （ Unified）―提供一個確保高度可管理及可擴展的體系結構; R（Reliable）―確保企業具備高生產力及業務持續性;E (Extensible) 滿足今天及明天的安全需要。

全新的統一威脅管理

為了給中型公司及大企業的區域辦事處提供全方位、多層次的安全保護，抵御間諜軟件、病毒、網絡攻擊等互聯網威脅，Check Point日前強力推出一個名為UTM-1的全新統一威脅管理（UTM）設備系列。

UTM-1安全設備是精心設計的解決方案，它融合了Check Point在企業安全的千錘百煉經驗，體現了為企業提供統一安全體系結構的方針。UTM-1的部署方法十分簡便，它支持集中化控制功能，降低管理多個地點的安全保護的復雜性。

“我們推出UTM-1全新系統的目的，是為了讓中型公司及部門級辦公地點也能用到Check Point的企業級安全方案，在一個特別為它們設計的平臺享用各種安全優點及提高生產力。”Check Point首席執行官Gil Shwed表示，“UTM-1令Check Point的產品陣容更為完善，能為不同規模的網絡提供優化方案:VPN-1 Power適用于要求最為嚴格的大型網絡;VPN-1 Edge UTM適用于遠程/分支辦公地點，同時適用于小型公司，現在推出的UTM-1高度靈活，是中等規模網絡的理想方案。”

第4篇：公司網絡安全方案范文

目前，企業信息系統中的威脅主要來源于外部因素，隨著社會的快速發展，在激烈的市場競爭中信息占有非常重要的位置，有很多不法分子會想方設法的利用各種手段竊取企業信息，最終獲得經濟效益。還存在部分企業在與對手競爭中為占取有利位置會采取不正當手段獲取對方企業信息，最終達到擊敗對方的目的。目前在國內黑客人侵企業網絡的主要手段有直接進攻企業信息系統和傳播病毒兩種。

二、當前企業信息化建設中完善信息安全的對策

（一）樹立正確安全意識企業在信息化發展的進程中，應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄，企業機密被泄漏，對企業所造成的打擊是非常巨大的，同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的這樣才能為后面的工作打下良好的基礎。

（二）選擇安全性能高的防護軟件雖然任何軟件都是有可以破解方法的，但是對于安全性能高的軟件而言，其破解的困難性也隨之增加，所以企業在選擇安全軟件時應盡量選擇安全性能高的，不要為節省企業開支而選擇性能差的防護軟件，如果出現問題其造成的損失價值會遠遠的大于軟件價格。

（三）加強企業內部信息系統管理首先，對于企業信息系統安全而言，無論是使用哪種安全軟件都會遭到攻擊和破解，所以在安全防御中信息技術并不能占據主體，而管理才是信息安全系統的主體。因此建立合理、規范的信息安全管理體質對于企業而言是非常重要的，只有合理、規范的管理信息，才能為系統安全打下良好的基礎。其次，建立安全風險評價機制。企業的信息系統并不是在同一技術和時間下所建設的，在日常的操作和管理過程中，任何系統都是會存在不同的優勢和劣勢的因此企業應對自身的信息系統做安全風險評估，根據系統的不同找出影響系統安全的漏洞和因素，并制定出詳細的應對策略。

（四）加強網絡安全管理意識首先，網絡安全管理部門應樹立正確的網絡安全觀念，加強對網絡安全的維護，在企業人員培訓中加入對人員的網絡安全培訓，從而使企業工作人員自覺提升安全防范意識，擺脫傳統的思維模式，突破網絡認識誤區。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育，提高他們的法律意識，從而使他們自覺遵守網絡使用的法律法規。其次，應當利用合理有效的方式普及對全體員工有關于網絡法律法規及網絡知識的教育，以提高他們的網絡安全意識。

（五）網絡的開放性使得網絡不存在絕對的安全，所以一勞永逸的安全保護策略也是不存在的由此可以看出，企業實施的網絡安全策隨著網絡問題的升級而發展的，具有動態特征。因此企業制定的策略要在符合法律法規的基礎上，通過網絡信息技術的支持，并根據網絡發展狀況、策略執行情以及突發事件處理能力進行相應的調整與更新，這樣才能確保安全策略的有效性。此外企業還應綜合分析地方網絡安全需求，進一步制定更加完善的網絡安全防護體系，以減少網絡安全存在的風險，保證信息化網絡的安全性。絕大部分的企業信息被竊取都是不法分子通過網絡進行的，因此必須加強企業的網絡管理，才能確保企業信息系統在安全的狀態下運行。針對信息安全的種類和等級制定出行之有效的方案，并提前制定出如果發生了特定的信息安全事故企業應采取哪種應對方案。當企業信息安全危機發生時，企業應快速成立處理小組，根據信息安全危機的處理步驟和管理預案，做好危機處理工作，避免出現由于不當處置而導致的連鎖危機的發生。另外，還應在企業內部做好信息安全的培訓和教育工作，提高信息安全的管理意識，提高工作人員對安全危機事件的處理能力。

三、結語

第5篇：公司網絡安全方案范文

【關鍵詞】電力；信息網絡；網絡安全；防范對策

在當前計算機網絡技術和信息系統的高速發展下，電力系統對信息系統的依賴性也隨之增加，信息網絡已成為我們日常工作中重要的一部分。這體現了社會信息化發展趨勢。在現有電力信息網絡平臺下，做好安全防范機制是不可缺少的，電力企業要狠抓信息網絡安全的維護，消除潛在性的信息網絡安全事故隱患。因此，需針對信息網絡安全防范提出切實可行的防控對策，從而提升信息網絡安全標準。

1電力信息網絡的需求性

當前，隨之時代的進步，區別于早期的紙質文件及辦公流程，如今的電力系統更多的運用了基于信息網絡的信息系統進行各類業務的處理，從營銷業務使用的電力營銷系統、電能量計費系統到企業管理用到的OA協同辦公系統、人力資源管理系統以及生產業務用的GIS系統、生產管理系統等等，幾乎所有的業務都有著相對應的信息系統，電力系統資源及流程的整合基本都依靠著信息系統來進行處理和管控。在此基礎下，對于信息網絡建設的要求也不斷提升。信息網絡建設工作的開展應具有多面性，對網絡的穩定性、擴展性、安全性都要有所考慮，這些都是提高網絡建設的關鍵，也是提高電力企業自身管理水平的基礎。

2電力信息網路安全的重要性

由于當前電力系統對于信息系統非常依賴，各個業務領域都有對應的信息系統，所以承載著信息系統的信息網絡的安全方面將非常的重要，而信息網絡自身的脆弱性又導致了信息網絡容易被攻破的風險很高。管理、營銷的安全隱患可能導致企業信息泄露或是客戶信息泄露，在生產業務方面，在電力系統生產工作的各個環節中，如變電、發電、輸電、用電及配電等環節，信息網絡都起著極其重要的作用，無論是系統保護、調節、控制還是系統通信，都少不了信息網絡的參與，如果在生產方面出現網絡安全問題，輕則造成系統癱瘓、無法操作等，嚴重的可造成設備故障或者電網停電等。所以當下電力系統的信息網絡安全維護變得非常重要，要保證信息的完整性、機密性以及信息系統的高效性，確保信息不被丟失、篡改和損壞，這些都是提高電力信息網絡運行效率的關鍵，對電力系統的穩定運行具有重要性意義。

3風險因素分析

3.1信息網絡自身的脆弱性

信息網絡本身存在著脆弱性，在信息的輸入、處理、交換、傳輸、存儲以及輸出的過程中信息容易出現被破壞、篡改、偽造、竊取以及存儲介質的損壞等情況；通信光纜的易損壞也很容易信息網絡的中斷；以及操作系統、數據庫、通信協議等環節存在的漏洞都是普遍的安全隱患。

3.2信息安全意識的薄弱

在很多企業來說，由于對信息網絡本身不夠了解，很多職工對信息安全上的意識非常薄弱，比如個人終端賬戶能不用密碼就不用密碼；信息系統賬戶能用簡單密碼就不用復雜密碼；內網終端能共享文件、打印機就不用U盤；殺毒軟件安裝后從來不做掃描；能使用賬戶密碼登陸系統就不用KEY身份認證等等。

3.3其他外力因素

計算機病毒和網絡攻擊造成的威脅；電磁泄露、雷擊、火災等環境安全構成的威脅；設備故障或工作人員誤操作從而導致的事故等。

4防范對策討論

4.1加強管理方案

我們要知道，沒有任何設備和技術能夠保證信息網絡的安全。在任何企業中，管理制度和標準都是非常重要的，所以我們首先要制定好對于電力信息網絡相關的一系列管理標準及制度并嚴格執行。信息網絡管理部門應做好事故預想、應急預案；保證網絡設備有著后備應急資源；定期組織應急演練，提高對信息網絡突發事件的響應能力及處理能力。而其他的業務部門也需要定期進行信息網絡安全方面的知識培訓，提高自我信息網絡安全意識。

4.2網絡架構的優化

可以通過構建A、B兩路通信通道，利用物理隔離和需求切換來提升信息網絡的安全性以及穩定性。對重要站所或辦公大樓建設第二路由，能很好的消除各類因外力事件造成的網絡中斷事故。利用防火墻進行邊界防護，作為網絡安全中的重要防護措施，防火墻在網絡的建設中都是必不可少的。實行“網絡隔離”，把內網（這里定義為電力系統內部的綜合數據網、調度數據網等）和外網（定位為英特網）之間添加物理隔離裝置，而互聯網的出口統一至省電力公司一級，地市級公司及各分公司統一從省電力公司出口訪問互聯網，外網應用系統與內網相關系統的訪問（例如支付寶預交電費等業務）必須通過隔離裝置及防火墻進行。

4.3建立訪問控制

引入網絡準入控制系統，目前比較主流的控制系統有聯軟科技準入控制系統（UniNAC），利用此系統配置網絡準入控制：從接入層對訪問的用戶進行授權控制，根據用戶身份嚴格控制用戶對內部網絡訪問范圍，確保企業內網資源安全；通過身份認證的用戶還必須通過終端完整性檢查，查看連入系統的補丁、防病毒等功能是否已及時升級，是否具有潛在安全隱患；對通過身份認證但未滿足終端安全檢查的終端不予以網絡接入，并強制隔離，提示用戶安裝相關補丁、殺毒軟件和安全設置等；對U盤、移動硬盤等移動存儲設備的訪問進行認證管控。

4.4信息網絡安全事件響應力

我們電力企業強調的是“安全第一，預防為主”，但是前邊提到過，網絡的安全是沒有100%的防范可能的，在上面提出的防范策略的基礎上，我們還要提升對可能產生的信息網絡安全事件進行處理的響應能力。（1）建立一套合理的響應機制，并安排好處理問題所需的資源以及人員配置。（2）要定期對各信息系統以及重要資料進行備份，并做異地存儲，要做到隨時對信息網絡及系統進行恢復。（3）先查出事件原因，然后提出控制措施，在分析事件的處理辦法。（4）待事件完全處理完畢后，事件已清除或者控制后，恢復網絡運行以及系統或數據備份的恢復，并做好相關記錄。

5結論

總之，電力系統信息網絡的發展是動態的，隨著電力企業自身的發展和計算機信息網絡的發展而不斷變化著，不能一層不變的維持現有的信息網絡安全維護方案，在現有的信息網絡安全方案下，還應該定期調整安全策略，進行安全評估，改進安全方案。我們要跟上時代的步伐，建設更為先進的信息網絡安全維護平臺，最大限度的保障電力信息網絡的安全，充分發揮電力信息網絡在電力系統中的各種作用，構建信息化的電力企業發展方向。

參考文獻

[1]宋宏艷.淺析電力信息網絡安全防范措施[J].科技創新與應用，2014（17）.

[2]張文晉.實現電力企業信息化建設的途徑和思路分析[J].科技創業家，2013（16）.

[3]趙亮.物聯網和云計算對等級測評的影響探究[J].信息安全與技術，2013（03）.

[4]馬文，江翰，彭秋霞.電力信息安全基線自動化核查[J].云南電力技術，2013（01）.

第6篇：公司網絡安全方案范文

目前，互聯網惡意軟件已經成為社會的公害，成為企業安全暢通上網的絆腳石。對于企業而言，間諜軟件、垃圾郵件等網絡威脅已經到了無法忍受的地步，一些間諜軟件通過“打開網頁即裝載”的方式潛藏進電腦，幾乎是防不勝防，甚至成為一些網絡釣魚、竊取賬戶資金的幫兇。

僅僅是垃圾郵件和惡意程序就足以令企業的電腦資源消耗殆盡，既浪費了大量的系統、硬盤、內存和網絡資源，又降低了公司的經營效率。

軟件+硬件+服務

靠傳統的手法解決網絡安全問題，已漸漸行不通了，尋求行之有效的安全解決方案，成為社會交給廣大防病毒廠商的一份責任。專注于網絡安全軟件及服務領域的趨勢科技在現在這個變幻莫測的網絡環境下，面對在巨大經濟利益驅使下的病毒和惡意軟件制造者的嚴重挑釁，一改業界以“產品導入方式解決網絡安全問題”作法，第一次明確提出以客戶需求為導向的安全立體解決方案，該方案既包括軟件，也包括硬件，同時還有服務。

在這個“軟件+硬件+服務”安全立體解決方案中，軟件、硬件和服務各司其職，從不同層面解決用戶在安全實踐中的問題，給用戶提供一個完善的安全保護體系。

EPS Solution Day

對此，趨勢科技最近在北京、上海和廣州等地舉辦了“EPS Solution Day”大型解決方案日巡展活動，在活動中趨勢科技表示，監控、強制、防護和恢復是趨勢科技企業安全防護策略的四個環節。在這四個環節當中，趨勢科技將全方位的解決方案和安全服務無縫整合在一起，監測潛在威脅、實施統一的安全策略、預防惡意威脅傳播和修復被感染設備。

EPS是“軟件+硬件+服務”三位一體解決方案的結構框架和理念基礎。在巡展中，國家計算機病毒應急中心主任張健表示，趨勢科技所提出的“軟件+硬件+服務”一攬子式的解決方案，扭轉了“產品導入方式解決網絡安全問題”所造成的“頭痛醫頭，腳痛醫腳”弊病，切重解決安全問題的本質和要害，為飽受安全困擾的用戶指明了方向，代表了安全產業未來的發展趨勢。

軟硬兼施

作為傳統的安全軟件廠商，趨勢科技開發出許多業界有名的安全軟件，包括OfficeScan和ScanMail等，這些軟件靈活、廣泛地部署在用戶的關鍵服務器當中，保護著企業的關鍵業務。

趨勢科技并沒有局限于安全軟件，而是前瞻性地看到硬件設備在網絡當中的地位和作用，尤其是在網關位置，硬件設備更能發揮高效、穩定的優勢，繼趨勢科技網絡病毒墻NVW之后，趨勢科技又全力打造了大中型企業的網關訊息安全設備(IMSA)、互聯網網關安全設備(IWSA)和中小企業InterScan網關安全設備（IGSA）等高性能網關設備，幫助用戶在網絡的入口處高效率地過濾網絡威脅。

第7篇：公司網絡安全方案范文

關鍵詞 信息安全；PKI；CA；VPN

1 引言

隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2 信息系統現狀

2.1 信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

2)應用系統

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2 信息安全現狀

為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3 風險與需求分析

3.1 風險分析

通過對我們信息系統現狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：

(1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。

已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2 需求分析

如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：

(1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。

4 設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1 標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。

4.2 系統化原則

信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。

4.3 規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。

4.4 保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。

4.5 多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6 分步實施原則

由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5 設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

網絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。

數據的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。

5.2 邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4 桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。

5.5 身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6 方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。

(4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。

7 結論

第8篇：公司網絡安全方案范文

1.1移動終端的硬件平臺飽受威脅。當前，移動終端的硬件平臺普遍缺乏驗證機制與保護機制，以至于部分模塊固件被不發入侵者肆意篡改，加之終端內部的通信接口未形成集聚完整性與機密性的保護機制，導致移動終端內傳出的信息被黑客竊聽，對其基本安全性造成極大威脅。

1.2由于4G無線系統包含著許多種類，但操作系統的安全性卻相對匱乏，因而出現了許多漏洞，而且這些漏洞具有公開性特征。

1.34G無線系統的移動終端具備支持多種無線應用的功能，例如電子郵件、電子商務等。假使這些無線應用本身在程序方面存在著漏洞或安全隱患，同樣會對4G無線通信的網絡安全性造成極大威脅。

二、提升4G無線通信網絡安全性的主要策略

由于有線網絡和無線網絡在基本特性方面存在著較大差異，因此在設計無線通信的網絡安全方案時，應當充分考慮其兼容性、安全性以及效率性等因素，從而最大限度提升4G無線通信的網絡安全性。

2.1研發與利用加固型操作系統

為了規避安全問題，在選擇操作系統時，應選擇滿足TMP需求的操作系統，能夠支持遠程驗證、區域隔離以及混合訪問控制等操作。

2.2采取硬件物理保護措施

通過加大無線通信測試平臺硬件的集成度，減少存在攻擊威脅的接口數量，并適當增加電壓、電流以及溫度，以此方式達到檢測電路的目標，以防采取物理檢測措施時被攻擊。此外，針對TPM和全球用戶識別卡中的相關數據，還應當根據安全級別進行銷毀處理。

2.3不斷加固硬件平臺

把中國移動互聯網可信應用平臺視作網絡安全問題基本防護對象，除了對其進行全方位檢測以及可信啟動之外，還應予以存儲保護等安全措施。同時，由于4G無線通信的核心網是TD-SCDMA，盡管不對稱管制、起步晚以及備受懷疑等主客觀因素對其發展產生了一定的影響，但TD-SCDMA的整體發展趨勢十分明朗，同時還取得了較大成功。而隨著TD-LTE的不斷推行與普及，其發展事態已遠遠超過TD-SCDMA，全球范圍內TD-LTE的商用網絡總數已達到13個，其發展與應用必定會成為大勢所趨。

2.4提升通信服務效率

由于無線通信的網絡資源有限，為了提升網絡資源的可靠性、安全性與有效性，首先應當控制安全協議的信息交互總數，確保安全信息的精準性與短小性。其次，控制移動終端的任務數量，針對4G無線通信的網絡終端制定明確的標準，要求其計算能力具備明顯的非對稱性。最后，針對處于閑置狀態的移動終端，必須加以有效利用，從而實現預計算、預認證的目標。

三、結束語

第9篇：公司網絡安全方案范文

關鍵詞：船舶計算機網絡系統網絡安全管理

1引言

進入二十一世紀以來，隨著船舶自動化和信息化程度不斷提高，船舶計算機網絡系統及其應用得到了迅速發展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統（SMIS）等應用納入一個統一的網絡系統，實現船岸管控一體化。

在我司近幾年建造的4萬噸級以上的油輪上，普遍安裝了計算機局域網。一方面，計算機網絡用于傳輸船上動力裝置監測系統與船舶航行等實時數據；另一方面，計算機網絡用于船舶管理信息系統（功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理）并通過網絡中船舶通訊計算機實現船岸間的數據交換，實現船岸資源共享，有利于岸基他船舶管理人員對船舶的監控與業務指導。前者屬于實時系統應用，后者屬于船舶日常管理系統應用，在兩種不同類型的網絡應用（子網）之間采用網關進行隔離。目前，船舶計算機網絡系統采用的硬件設備和軟件系統相對簡單，因此，船舶計算機網絡的安全基礎比較薄弱。隨著船齡的不斷增長，船上計算機及網絡設備逐漸老化；并且，船上沒有配備專業的人員負責計算機網絡和設備的運行維護和管理工作，所以船舶計算機及網絡的技術狀況比較差，影響各類系統的正常使用與船岸數據的交換。究其原因，除了網絡設備和網絡線路故障問題之外，大多數問題是因各類病毒與管理不善等原因所引起的。

2船舶計算機網絡架構

目前在船舶上普遍采用工業以太網，船舶局域網大多采用星型結構。

有些船舶已經在所有船員房間布設了局域網網線，而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪（VLCC）的計算機局域網結構圖。

圖表2 是 船舶計算機網絡拓撲結構圖。其中，局域網服務器采用HP COMPAQ DX7400（PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G）；網關采用INDUSTRIAL COMPUTER 610（P4 2.8GHZ/DDR333 512M/80G）；交換機采用D-LINK DES-1024D快速以太網交換機（10/100M 自適應，工作在二層應用層級）。

3船舶計算機網絡系統的安全問題

2005年以來，有很多的船舶管理公司推進實施船舶管理信息系統。對于遠洋船舶來說，船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶端/服務器兩層架構，高級船員的辦公計算機作為客戶端，通過聯網使用船舶管理信息系統。船上的船舶管理信息系統通過電子郵件（一般采用AMOS MAIL或Rydex電子郵件）與岸基的船舶管理信息系統交換數據，實現船、岸船舶數據庫的數據同步。

根據了解，目前船舶計算機網絡最主要的問題（也是最突出的現狀）是安全性和可用性達不到船舶管理信息系統運行使用的基本要求。船舶管理信息系統數據庫服務器與郵件服務器之間，以及船員的辦公計算機與船舶管理信息系統數據庫服務器之間經常無法聯通。經過上船檢查發現，影響船舶計算機網絡系統正常運行的主要原因是計算機病毒。大多數船舶的辦公計算機采用微軟操作系統，一方面沒有打補丁，另一方面尚未采取有效的防病毒措施，比如沒有安裝單機版或網絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件，但是因為不能及時進行防毒軟件升級和病毒庫更新，所以無法查殺新病毒或新的變種病毒等，從而失去防病毒作用。經過調查分析，船上計算機病毒的主要來源是：（1）在局域網中的計算機上使用了帶有病毒的光盤、優盤、移動硬盤等存儲介質；（2）將帶有病毒的筆記本電腦接入了船上的局域網；（3）在局域網中的計算機上安裝有無線上網卡，通過無線上網（沿海航行或停靠港口時）引入了病毒/蠕蟲/木馬/惡意代碼等。

為了解決上述問題，有的企業在船舶辦公計算機上安裝了硬盤保護卡；也有一些企業在船舶辦公計算機上安裝了“一鍵恢復”軟件；另外還有企業開始在船舶計算機網絡系統中安裝部署專業的安全管理系統軟件和網絡版防病毒軟件。

若要從根本上增強船舶計算機網絡系統的安全性和可用性，則需要考慮以下條件的限制：（1）船上的計算機網絡架構在出廠時已經固定，除非船舶正在建造或者進廠修理，否則，凡是處于運營狀態的船舶，不可能立即為船舶管理信息系統專門建設一個物理上獨立的計算機局域網。（2）限于資金投入和船上安裝場所等原因，船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。（3）從技術管理的角度看，在現階段，船舶仍不可能配備具有專業水平的網絡人員對計算機網絡系統進行管理。（4）因衛星通信通道和通信費用等原因，遠洋船舶的辦公計算機操作系統（微軟Windows 系列）不可能從因特網下載補丁和打補丁；船舶局域網中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看，解決船舶計算機網絡安全方面的問題，與陸地上確實有許多不同之處。

4船舶計算機網絡系統的安全需求分析

為提高船舶計算機網絡系統的可用性，即船舶計算機網絡系統任何一個組件發生故障，不管它是不是硬件，都不會導致網絡、系統、應用乃至整個網絡系統癱瘓,為此需要增強船舶計算機網絡系統的可靠性、可恢復性和可維護性。其中:（1）可靠性是指針對船舶上的溫度、濕度、有害氣體等環境，提高網絡設備和線路的技術要求，有關的設計方案在船舶建造和船舶修理時進行實施和實現。（2）可恢復性，是指船舶計算機網絡中任一設備或網段發生故障而不能正常工作時，依靠事先的設計，網絡系統自動將故障進行隔離。（3）可維護性，是指通過對船舶計算機網絡系統和網絡的在線管理，及時發現異常情況，使問題或故障能夠得到及時處理。

研究解決船舶計算機網絡系統安全管理問題，必須考慮現實的條件和實現的成本。總的原則是：方案簡潔、技術成熟；經濟性好、實用性強；易于實施、便于維護。因此，在盡量利用現有設備和設施、擴充或提高計算機及網絡配置、增加必要的安全管理系統軟件、嚴格控制增加設備的前提下，通過采用邏輯域劃分、病毒防殺、補丁管理、網絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段，以解決船舶計算機網絡系統最主要的安全問題。

在對船舶計算機網絡采取安全防護技術措施的同時，還需要制定船舶計算機網絡系統安全管理制度；定制船舶計算機網絡系統安全策略和安全管理框架；對船員進行計算機及網絡系統安全知識教育，增強船員遵守公司制定的計算機網絡安全管理規定的意識和自覺性。

（1）加強船舶計算機病毒的防護，建立全面的多層次的防病毒體系，防止病毒的攻擊；

（2）采用專用的設備和設施實現船舶安全策略的強制執行，配合防毒軟件的部署與應用;

（3）加強船舶計算機網絡管理，通過桌面管理工具實現船舶計算機網絡運行的有效控制;

（4）制定相關的網絡安全防護策略，以及網絡安全事件應急響應與恢復策略，在正常預防網絡安全事件的同時，做好應對網絡安全事件的準備。

5船舶計算機網絡系統安全管理要求

5.1確定船舶網絡系統安全管理目標

基于以上對船舶計算機網絡系統安全問題和可用性需求的分析，我們認為解決網絡系統安全問題的最終目標是：

通過船舶計算機網絡系統安全管理制度的制定，安全策略和安全管理框架的開發，定制開發和部署適合船舶計算機網絡系統特點的安全管理系統，確保船舶計算機網絡系統安全可靠的運行和受控合法的使用，滿足船舶管理信息系統正常運行、業務運營和日常管理的需要。

通過實施船舶計算機網絡系統安全技術措施，達到保護網絡系統的可用性，保護網絡系統服務的連續性，防范網絡資源的非法訪問及非授權訪問，防范人為的有意或無意的攻擊與破壞，保護船上的各類信息通過局域網傳輸過程中的安全性、完整性、及時性，防范計算機病毒的侵害，實現系統快速恢復，確保船舶計算機網絡的安全運行和有效管理。總體上從五方面考慮：

（1）針對管理級安全，建立一套完整可行的船舶計算機網絡系統安全管理制度，通過有效的貫徹實施和檢查考核，實現網絡系統的安全運行管理與維護；

（2）針對應用級安全，加強船舶計算機網絡防病毒、防攻擊、漏洞管理、數據備份、數據加密、身份認證等，采用適合的安全軟硬件，建設安全防護體系；

（3）針對系統級安全，加強對服務器、操作系統、數據庫的運行監測，加強系統補丁的管理，通過雙機（或兩套系統）的形式保證核心系統運行，當發生故障時，能及時提供備用系統和恢復；

（4）針對網絡級安全，保證船舶計算機網絡設備、網絡線路的運行穩定，對核心層的網絡設備和線路提供雙路的冗余；

（5）針對物理級安全，保證船舶計算機網絡系統數據的安全和系統及時恢復，加強信息和數據的備份和各類軟件介質的管理。

5.2網絡系統安全配置原則

船舶計算機網絡系統是一套移動的計算機網絡系統，沒有專業的安全管理人員，缺乏專業的安全管理能力；船舶數量多，船舶計算機網絡系統規模小和相對比較簡潔，因此，不能按照企業網絡的安全管理體系來構建船舶計算機網絡系統的安全管理體系，必須制定經濟實用的網絡安全設計原則。

需求、風險、代價平衡的原則

對船舶計算機網絡系統進行切合實際的分析與設計，對系統可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見，并制定相應的規范和措施，確定系統的安全策略。

綜合性、整體性、系統性原則

船舶計算機網絡系統安全是一個比較復雜的系統工程，從網絡系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，制定具體措施。安全措施主要包括：行政法律手段、各種管理制度以及專業技術措施。

易于操作、管理和維護性原則

在現階段，船舶上不可能配備專業的計算機系統安全管理員，采用的安全措施和系統應保證易于安裝、實施、操作、管理和維護，并盡可能不降低對船舶計算機網絡系統功能和性能的影響。

可擴展性、適應性及靈活性原則

船舶計算機網絡安全管理系統必須組件化或模塊化，便于部署；安全策略配置靈活，具有較強的適應性，能夠適應各種船舶的計算機網絡系統復雜多樣的現狀；安全管理系統必須具有較好的可擴展性，便于未來進行安全功能的擴展。

標準化、分步實施、保護投資原則

依照計算機系統安全方面的有關法規與行業標準和企業內部的標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。限于計算機系統安全理論與技術發展的歷史原因和企業自身的資金能力，對不同情況的船舶要分期、分批建設一些整體的或區域的安全技術系統，配置相應的設施。因此，依據保護系統安全投資效益的基本原則，在合理規劃、建設新的網絡安全系統或投入新的網絡安全設施的同時，對現有網絡安全系統應采取完善、整合的辦法，使其納入總體的網絡安全技術體系，發揮更好的效能，而不是排斥或拋棄。

5.3網絡安全管理的演進過程

建立、健全船舶計算機網絡系統安全管理體系，首先要建立一個合理的管理框架，要從整體和全局的視角，從信息系統的管理層面進行整體安全建設，并從信息系統本身出發，通過對船上信息資產的分析、風險分析評估、網絡安全需求分析、安全策略開發、安全體系設計、標準規范制定、選擇安全控制措施等步驟，從整個網絡安全管理體系上來提出安全解決方案。

船舶計算機網絡系統安全管理體系的建設須按適當的程序進行，首先應根據自身的業務性質、組織特征、資產狀況和技術條件定義ISMS的總體方針和范圍，然后在風險分析的基礎上進行安全評估，同時確定信息安全風險管理制度，選擇控制目標，準備適用性聲明。船舶計算機網絡系統安全管理體系的建立應遵循PDCA的過程方法，必須循序漸進，不斷完善，持續改進。

6建立健全船舶計算機網絡安全管理制度

針對船舶計算機及網絡系統的安全，需要制定相關法規，結合技術手段實現網絡系統安全管理。制度和流程制定主要包括以下幾個方面：

制定船舶計算機及網絡系統安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；

對安全管理活動中的各類管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式；

對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；

形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；

由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。

7 總結

對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶，可以結合實際需要和具體條件采取以下解決方案：

1.對于正在建造的船舶和準備進廠修理的船舶，建議按照較高級別的計算機網絡安全方案進行實施，全面加固船舶計算機及網絡的可靠性、可恢復性和可維護性，包括配置冗余的網絡設備和建設備用的網絡線路。

2.對于正在營運的、比較新的船舶，建議按照中等級別的計算機網絡安全方案進行實施，若條件允許，則可以增加專用的安全管理服務器設備，更新或擴充升級原有的路由器或交換機。

3.對于其它具備計算機局域網、船齡比較長的船舶，建議按照較低級別的計算機網絡安全方案進行實施，不增加專用的安全管理服務器設備，主要目標解決計算機網絡防病毒問題。

4.對于不具備計算機局域網的老舊船舶，可以進一步簡化安全問題解決方案，著重解決船舶管理信息系統服務器或單機的防病毒問題，以確保服務器或單機上的系統能夠正常運行使用。

參考文獻：