中小经济单位

中小经济单位（共2篇）

中小经济单位 篇1

0 引言

Internet为人类社会创造了一个全新的信息空间, 随着计算机网络技术的日益成熟, 计算机网络在社会上的应用也急剧增多, 中小企事业单位越来越多的采用计算机网络技术来进行办公。但是在此过程中, 由于中小企事业单位对网络安全问题不够重视以及工作人员的操作不规范等问题, 使中小企事业单位的网络安全受到极大的威胁。随着数字化经济的到来, 网络系统的不断扩大, 信息的快速获取, 数据的安全性、可用性变得越来越重要。

1 计算机网络数据安全问题概述

随着网络技术的迅猛发展, 各行各业逐步跨入信息时代大平台, 这一方面为信息储存、行业推广提供了极大便利, 而另一方面也催化了网络信息安全隐患的不断滋长, 频频爆出网络用户信息泄漏事件。目前网络已成为中小企事业单位重要的工作手段之一, 网络信息泄密使企业面临严重的安全威胁, 并且已经有企业为此承担了巨大的经济损失。加强网络信息安全管理已刻不容缓。

2 企事业单位计算机数据安全面临的威胁

(1) 中小企事业单位由于网络管理上的缺失, 没有形成统一的网络安全管理制度或者责任分工不明确, 不能及时发现计算机网络系统中出现的安全漏洞, 造成数据损毁丢失或被黑客篡改。

(2) U盘、移动硬盘等外来数据与中小企事业单位内部的计算机端口进行非法的连接, 造成网络系统感染病毒或者直接瘫痪, 对中小企事业单位的内部信息安全够成威胁。

(3) 中小企事业单位对计算机网络终端缺乏有效的监控, 当计算机系统出现安全威胁时, 无法通过监控系统及时锁定故障点, 也无法统一管理计算机网络所配置的应用软件。

(4) 由于单位员工的计算机网络技术水平存在较大差异, 大部分员工不能熟练掌握计算机网络的应用技术, 经常出现由于工作人员的操作不当, 造成数据的删除或者损坏。因没有设置或及时更改计算机网络的使用权限, 增加了网络入侵的危险。

3 计算机网络数据信息安全策略与技术防范措施

基于上述安全隐患, 而计算机网络在中小企事业单位中的应用又势在必行的现实趋势, 中小企事业单位应该针对计算机网络信息制定配套的安全管理策略, 切实加强信息安全管理, 并且针对安全威胁采取相应的技术防范措施, 见表1。

RAID 0追求速度, 至少需要2块硬盘, 总容量相当于多块硬盘加起来, 不过这种方案安全性欠缺, 一块硬盘出现问题, 数据全毁。RAID 1追求安全, 磁盘2是磁盘1的备份, 缺点是容量损失, 速度与单块硬盘相同。RAID 0+1或RAID 1+0兼顾速度与安全, 应用较多。RAID 5相对来说速度较快, 安全性较高, 应用也比较普遍。

4 典型案例分析

2010年, 张建在杭州某电商企业中负责品牌运营和推广工作。在工作中结识了前支付宝员工李明, 双方产生了“生意”上的来往。在一次合作中, 李明用3万条目标消费者信息来抵付欠张建的500元人民币酬劳。这3万条目标消费者信息中包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等, 张建通过这些定位精准的用户信息进一步筛选出精准的目标消费群体。李明时任支付宝技术员工, 其利用工作之便, 多次从支付宝后台下载用户信息。据其对警方的供述, 其下载的信息的大小容量在20G以上。李明下载用户信息后, 伙同两位系统外的IT业者, 共同将用户数据加以分析、提炼, 并兜售给目标客户。

此案暴露了支付宝公司信息安全管理上的漏洞, 如果内部监管得力, 及时发现问题, 就可制止犯罪行为。如果权限设置得当, 他没有相应的权限, 就接触不到或者不会轻易得到如此多的隐私数据, 就不会发生这类事件了。

5 数据信息安全的目标及要达到的效果

信息安全通常强调CIA三元组的目标, 即保密性、完整性和可用性。CIA的概念阐述源自信息技术安全评估标准 (ITSEC, 即Information Technology Security Evaluation Criteria) , 它也是信息安全的基本要素和安全建设所应遵循的基本原则。

中小企事业单位的目标是在有限的投入中, 获得尽可能最大的安全性。防火墙是必须的, 既要防病毒又要防黑客;物理隔离网络是必要的, 只有这样才能保护专网的数据信息安全;建立完整的备份策略是必然的, 防患于未然;内部的监管也是非常重要的, 消灭一切威胁到数据信息安全的行为。

6 结论

随着计算机网络技术的发展, 中小企事业单位对于计算机网络的应用将越来越广泛, 建立健全各种安全制度, 增强网络数据信息的安全性刻不容缓。在产业融合的态势下, 应该尽量保证数据信息的准确性, 完整性, 保密性, 避免由于网络数据信息丢失、损毁、泄密等给中小企事业单位带来的损失。同时, 政府也应该遵循互联网发展的规律, 秉承开放、包容、创新、分享的理念, 加快建立完善和互联网工作发展相适应的监管制度, 修订完善法律法规, 不断优化监管思路, 创新监管手段, 规范市场秩序, 着力打造党政部门、互联网企业、科研机构、行业组织, 以至普通的网民广泛参与合作等多元监管格局, 为互联网潜能的充分释放营造公平、公正、合法、合规的外部环境。

参考文献

[1]潘柱廷.高端信息安全与大数据[J].信息安全与通信保密, 2012 (12) .

[2]维克托·迈尔·舍恩伯格, 周涛.大数据时代:生活、工作与思维的大变革[J].人力资源管理, 2013 (03) .

[3]刘庆宇.浅析计算机网络的安全策略与技术防范对策[J].数字技术与应用, 2013 (10) :207.

[4]关启明.计算机网络安全与保密[J].河北理工学院学报, 2003 (2) :84-89.

[5]宋国华.某企业计算机网络安全系统设计与实现[D].电子科技大学, 2012.

[6]杨晨.探析网络安全策略中存在问题及防范措施[J].信息与电脑 (理论版) , 2014 (1) :127-128.

中小经济单位 篇2

2007年1月

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

一、中小型企事业单位办公网的应用现状和主要存在的问题

由于信息化建设的发展，各政府、机关、医疗、企业等单位都已经完成了电脑单机普及阶段，拥有了自己的办公局域网络，还有互联网或专网的出口。但是在网络的使用中也出现了各种各样的问题，这些问题影响着用户放心地使用网络工作，也给网络维护人员带来很多困扰。比较常见的问题包括：

1、IP地址冲突：在正常情况下网络中的用户可以使用本网段内的所有IP地址，但这样一但有人更改了和别人甚至是和网关相同的IP地址，就会造成互相冲突人的断网甚至是网关设备断网。

2、互联网出口不安全：大部分单位还在采用代理服务器、简单型路由等设备进行连接。一但爆发大规模的网络病毒或恶意攻击就会使整个网络的出口出现瘫痪状态，整网就会出现上不了互联网的问题。

3、局域网内病毒泛滥：局域网的最基本的功能就是信息共享，在信息共享的同时就会有病毒信息也在共享。新型的网络病毒层出不穷，让用户防不胜防。

4、网络结构混乱：各单位都有类似的情况，在网络刚建设的时候可能就几个点，在使用中扩充到几十点最后甚至到上百点，这样在网络设备的搭配连接上就会出现多级级联的问题，交换机也会出现分布在办公室中的现象而不能集中管理，这样很容易出现由于错误连线造成回路连接，在网线出现问题的时候很难排错的现--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

象。

5、ARP欺骗：由于木马程序在内网进行攻击以后，伪造自己为网关的MAC地址就会造成网络内不定时的掉线的问题。

二、解决问题的必然选择――加强网管

有这样一个形象的比喻：对于信息化建设而言，建网络是修路，上应用系统是跑车，数据是车上拉的货。对于企事业单位而言，数据是重要的资源，应用是重要的工具，网络呢？网络是基础设施。

随着信息化建设的发展，数据对于企事业而言可能重要到性命忧关的地步，应用系统也可能重要到一刻不能停的地步，作为信息化的基础设施――网络，能否健壮地运行，越来越成为困扰负责信息化的技术人员的一个大问题。

怎样才能拥有一个健壮的网络，不让网管人员疲于奔命，不让网络成为信息化的短板，加强网管是必然的选择。没有网管的网络好比没有红绿灯、没有标志线的道路，路上跑的又都是没牌照的车，修多宽也一样会堵车。那怎样实现网管呢？

其实迅速发展的网络技术已经做出了解答，网络管理主要是通过设备管理和用户管理两方面来实现的。

三、网管手段之一――对网络设备的管理

网络是由线缆、连接件和网络设备构成的。可网管的网络设备是网络管理的基础。现在许多企事业单位的网络设备还都是早期的非网管设备，非网管的设备是无法实现管理功能的。更换成可网管的网络--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

设备是必须的。信息化建设是个花钱的事，为了达到尽量少的投入获得最好的效果这一目的，一般的建设原则是总体规划，分步实施。所以下面我们也分四步来谈怎样把一个不可网管的网络改造成可管理的网络。我们可以一次性投入，也可以分步投入。但网络的建设是必须有一个总体规划为前提的。

1、把接入交换机更换为可网管的交换机

可网管的接入交换机一般都具备这些网管功能： ● VLAN划分

企业级网络往往会按照网络规模、部门设置、用户权限、网络广播风暴严重性等标准，将局域网内用户划分在较多不同的VLAN（虚拟局域网）内，从而实现网络用户按照一定的规则来访问网络，比如财务科我们可以不让它访问任何地方，也不让别人访问它。这样就把财务科的网络独立了起来，在其他虚拟网内有病毒爆发、恶意攻击时不会影响到财务网络。同时我们还可以让部分VLAN的用户可以上网，部分VLAN用户不可以上网，以上这些功能部署完成后可以把网络做成一个弹性的可管理的灵活的网络。● QOS服务质量保证

可网管交换机一般都能支持IEEE 802.1P 优先级标记，可根据不同的应用区别数据传输的优先顺序，保障企业网络中重要业务应--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

用可以优先得到稳定的带宽及传输保证，避免网络资源因多种业务的资源无序占用而出现拥塞或瘫痪，协调整网资源的合理配置。● 生成树协议提供网络高可靠性

规模较大的企业级网络往往会因为网络结构的部署问题，而存在环路问题，由此产生的大量环路风暴会给整个网络带来灾难性的影响甚至瘫痪。

可网管交换机支持标准的802.1d生成树协议，避免网络冗余链路下的环路风暴隐患，提高系统容错能力，保证网络的稳定运行。

2、采用智能型交换机作为接入交换机

接入交换机是直接面对用户的电脑，是网络管理的第一道防线，也是许多网管功能实现的关键环节。所以在有条件的情况下，尽量使用功能更完善的接入交换机，是提高网管能力的首选。因此，也就出现了智能可网管交换机。所谓智能型的交换机实际是指具备部分三层功能的交换机，主要是指访问控制列表功能（ACL）和增强的802.1X支持，利用访问控制列表功能我们可以把最近的网络病毒的特征端口直接下发到端口这样就可以把病毒直接控制在单点用户；利用增强的802.1X协议，并配合SAM管理软件可以灵活实现对用户账号、用户IP、MAC、接入交换机IP、接入端口、Vlan ID六元素的复合绑定，--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

同时支持六元素严格绑定下的账号漫游。并且智能交换机可以实现纯硬件的端口与MAC地址及用户IP地址进行绑定。

3、采用三层交换机做为网络的核心交换设备

三层交换机中的“三层”指的是OSI（开放系统互连）七层参考模型的下面三层。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。在一些规模较大的网络中（一般指信息点超过100个的网络）必须需要采用三层交换机来做VLAN间路由，控制策略的部署，从而大大提高了网络的升级弹性和可管理性。

4、网络出口配备安全设备

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:

1)限定人们从一个特定的控制点进入;

2)限定人们从一个特定的点离开;

--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

3)防止侵入者接近你的其他防御设施;

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上 ,防火墙是加强Internet(内部网)之间安全防御的一个并接入Internet。或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:

●过滤进、出网络的数据;

●管理进、出网络的访问行为;

●封堵某些禁止行为;

●记录通过防火墙的信息内容和活动;

●对网络攻击进行检测和告警。

四、网管手段之二――对上网用户的管理

对上网用户的管理的前提是上网认证。在目前多种对上网用户进行认证的协议中，IEEE组织的802.1x协议是被认可度最高的协议。基于802.1x协议的上网认证系统具有高安全性和易管理性的特点。

--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

高安全性包括：

安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了IP冲突。

管理分级授权。使得不同职能的管理者使用同一套系统时得到不同的操作界面以及使用权限，避免了管理的安全隐患。

控制网络病毒。统一对接入层交换机做动态下发安全策略，可以轻松有效的控制网络病毒，使网络保持畅通。

抵御网络攻击。结合网络攻击的检测系统，可以抵御日益增多的内部网络攻击，并且自动对用户做出相应的控制动作，保证网络安全。

易管理性包括：

1、全网设备统一管理。全网拓扑发现以及对事件、性能、日志的统一管理，可以方便的对全网设备统一管理，运筹帷幄决胜千里之外。

2、AGTS的用户管理模式。将大量的信息转化为少量的信息做对应，可以在设置的时候使用最少量的对应关系，从而大大提高用户管理的效率。

3、接入时段管理。通过对日常、周末以及节日的一次性设置，可以轻松灵活的管理用户能够使用网络的时段，提高用户管理的力度。

4、自动升级客户端。可以通过统一的一次性配置，使得所有用户的客户端自动进行升级，大大简化了管理者及使用者的负担，--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

使得上网更为轻松。

上网认证系统是基于这样的理念，只有经过系统认证的用户才被允许使用网络，否则他就只是一个单机用户。这种办法类似于只有配发合法牌照的汽车才可以上路。当然允许上网只是第一步，认证上网的同时，系统也开始了对该用户上网行为的记录，那就是用户上网日志。并且系统管理员可以对用户进行各种管理与限制。比如对有病毒的电脑，对进行了非法使用的用户（如BT下载）可以限制不允许上网； 要求他对本机病毒清除或停止非法应用后，再允许他上网。上网认证系统的操作是用户在打开IE时都会弹出一个菜单，只有填写合法的用户名和密码后才能进行进一步的操作。认证通过后，不会对以后的其他任何操作产生影响。上网认证系统使得网络成为一个有身份证的社会，正因为有身份证才能进行管理。

五、实现网络管理功能的网络改造建议方案 100点以下的中小规模网络：

方案一：出口配置路由器、接入采用普通可网管交换机。方案二：出口配置路由器、接入采用智能增强型可网管交换机。方案三：出口配置路由器、安全设备采用硬件防火墙、接入采用智能增强型可网管交换机、起用上网认证系统。

100点以上的大中规模网络：

--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

方案一：出口配置硬件防火墙、核心交换机采用百兆三层交换机、接入交换机采用普通可网管交换机。

方案二：出口配置硬件防火墙、核心交换机采用百兆三层交换机、接入交换机采用智能增强型二层交换机、起用上网认证系统。

方案三：出口配置硬件防火墙、核心交换机采用千兆三层交换机、接入交换机采用智能增强型二层交换机、起用上网认证系统。

改造案例一 天津海事局秦皇岛航标处网络改造工程

--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------航道局专网Internet应用服务器群CISCO2611SAMII 认证平台CISCO PIX 515E核心交换机RG-S3760-24航标站交换机RG-S2126G光纤内网专线灯塔交换机RG-S2126G航标处接入交换机RG-S2150G航标展馆交换机RG-S2126G网络改造方案拓扑图 网络现状：100个信息点左右，应用有OA，视频会议、网站等。原有问题：IP地址冲突、网络病毒泛滥、外网攻击多、网络不稳定。所改造的设备：出口采用CISCO PIX515E防火墙，核心交换机采用锐捷RG-S3750-24，接入交换机采用智能增强型交换机RG-S2126G，全网采用SAMII 802.1X认证接入网络。

达到的效果：每个网络用户必须经过认证后才可以使用网络，利用SAMII及智能增强交换机的强大功能实现IP地址、用户名、密码、端口、MAC地址、NAS设备六大元素的绑定，从根本上解决了IP地址冲突的问题，防止了非法用户的接入。由于采用了三层交换机技术，利用ACL功能控制了各部门之间的网络访问，并限制通信端口的通信。

--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

改造案例二 河北衡信会计师事务所

图例：百兆双绞线千兆双绞线InternetRG-NBR 100网络拓扑图RG-S3550S1926S1926S1926各办公室微机各办公室微机各办公室微机 网络状况：80个信息点左右，有预算软件、造价软件等重要应用。改造方案：选用了锐捷的RG-S3550-24千兆智能三层交换机做为主交换机，来转发合控制各VLAN间的数据交换。各接入交换机我们选用了锐捷的STAR-S1926F+网管交换机。出口选用NBR路由器。改造目标：

1、对网络进行基于部门的虚拟网划分，在划分虚拟网的同时还可以通过主交换机的三层路由功能来具体控制虚拟网之间、互联网之间的访问权限。办公区域是业务保证的重点，安全性、QoS保证必不可少。考虑各单位信息的安全，可在核心交换机上采用访问控制列表--------------------------精品

文档-------

精品文档就在这里

-------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有------------------------------

ACL的方式进行权限控制，可允许或拒绝特定的单位或部门访问。

2、病毒的控制：通过主交换机的扩展访问控制列表功能，我们可以轻松的来控制整个网络病毒传播速度，可以把病毒传播控制在一个虚拟网以内。

3、可管理性：根据各职能部门的不同，分配不同的IP网段，在核心交换机和底层交换机上都设置ACL并给每个交换机上的每个端口都划分Vlan（对于并不重要的部门可以不用每个端口都划分Vlan，但重要部门必须如此）。这样，就可以完全隔离各部门之间的网络，保证不同业务网络架构于同一个物理网络。通过底层交换机对每个端口划分Vlan后，这样Vlan信息都上到核心交换机上。而锐捷网络RG-3550交换机利用其强大的ACL功能，可以为每一个用户提供差异化的访问安全控制，而这些都可以在网管上统一操作，方便日后的维护。

4、出口我们选用了互联网专用路由器锐捷NBR1000做为出口连接，网络出口为一个2M的网通宽带网出口。在本次网络中代理上网的功能我们用路由器来实现，由于在代理上网的同时路由器主要负责NAT网络地址转换的功能及限制各网段间互联网的访问权限，综合以上功能我们选用锐捷的NBR1000专用互联网接入路由器来代理客户机上网。

--------------------------精品