计算机网络高速发展的同时，给信息安全带来了新的挑战。通过对国内企业信息安全面临的风险分析，有针衬性地提出常用技术防护措施。

随着信息技术迅猛发展，计算机及其网络、移动通信和办公自动化设备日益普及，国内大中型企业为了提高企业竞争力，都广泛使用信息技术，特别是网络技术。企业信息设施在提高企业效益的同时，给企业增加了风险隐患，网络安全问题也一直层出不穷，给企业所造成的损失不可估量。

　　1企业面临的网络安全威胁

　　1.1来自企业内部的攻击

大量事实表明，在所有的网络攻击事件当中，来自企业内部的攻击占有相当大的比例，这包括了怀有恶意的，或者对网络安全有着强烈兴趣的员工的攻击尝试，以及计算机操作人员的操作失误等。内部人员知道系统的布局、有价值的数据放在何处以及何种安全防范系统在工作。因内部人员攻击来自区域内部，常常最难于检测和防范。

　　1.2来自企业外部的恶意攻击

随着黑客技术在互连网上的扩散，对一个既定目标的攻击变得越来越容易。一方面，对攻击目标造成的破坏所带来的成就感使越来越多的年轻人加人到黑客的行列，另一方面商业竞争也在导致更多的恶意攻击事件的产生。

　　1.3网络病毒和恶意代码的袭击

与前几年病毒和恶意代码传播情况相比，如今的病毒和恶意代码的传播能力与感染能力得到了极大提升，其破坏能力也在快速增强，所造成的损失也在以几何极数上升。如何防范各种类型的病毒和恶意程序，特别是网络病毒与邮件病毒，是任何一个企业都不得不面对的一个挑战。

　　2企业网络安全常用的防护措施

目前，不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战，从而要求我们的网络安全解决方案集成不同的产品与技术，来有针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施，建立完整的企业信息与网络系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定适度的安全策略，采用合适的安全技术，进行制度化的安全管理，保障企业信息与网络系统稳定可靠地运行，确保企业与网络资源受控合法地使用。
2.1部署统一的网络防病毒系统

在网络出口处部署反病毒网关。对邮件服务器安装特定的防病毒插件以防范邮件病毒，保护邮件服务器安全。在服务器及客户端上部署统一的防病毒软件客户端，实现对系统、磁盘、光盘、邮件及Internet的病毒防护。

　　2.2部署安全可靠的防火墙

企业为了在互联网上发布信息，共享资源，就不得不将自己的内部网络在一定程度上对外开放，这就在无形中增加了安全隐患，使有不良企图的人有机可乘。为了使信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统‘就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。防火墙的目的是要在不同安全区域(如:内部，外部、DMZ、数据中心)网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部和外部网，保护内部网络不受攻击。

　　2.3部署入侵检测系统

作为防火墙的补充，入侵检测系统(工DS)用于发现和抵御黑客攻击。人侵检测系统是一种网络/计算机安全技术，它试图发现入侵者或识别出对计算机的非法访问行为，并对其进行隔离。攻击者可能来自外部网络连接，如互联网、拨号连接，或来自内部网络。攻击目标通常是服务器，也可能是路由器和防火墙。

入侵检测系统能发现其他安全措施无法发现的攻击行为，并能收集可以用来诉讼的犯罪证据。一般入侵检侧系统有两类:基于网络的实时入侵检测系统和基于主机的实时人侵检测系统。

　　2.4配置漏洞扫描工具

漏洞扫描是一项重要的安全技术，它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器、防火墙、应用系统和数据库等)可能存在的安全漏洞进行逐项检查，根据检查结果提供详细的漏洞描述和修补方案，形成系统安全性分析报告，从而为网络管理员来完善网络系统提供依据。通常，我们将完成漏洞扫描的软件、硬件或软硬一体的组合称为漏洞扫描器。

　　2.5部署综合审计系统

通俗地说，网络安全审计就是在企业的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵、破坏、窃取和失泄，而运用各种技术手段实时收集和监视网络环境中每一个组成部分的系统状态、操作以及安全事件，以便集中报警、分析、处理的一种技术手段。
 

网络审计分为行为审计和内容审计，行为审计是对上网的所有操作的行为(诸如:浏览网页、登录网站从事各种活动、收发邮件、下载各种信息、论坛和博客发表言论等)进行审计，内容审计是在行为审计的基础上，不仅要知道用户的操作行为，而且还要对行为的详细内容进行审计。它可以使关心内容安全的管理人员清晰地知道通过网络有无没有采用加密处理就在网上传送的重要数据或内部和涉密文件被发出(用户行为)和被盗取(黑客行为);有无浏览不良网页;有无在论坛和博客上发表不负责的言论;有无使用即时通信工具谈论内部或涉密的话题。

　　2.6部署终端安全管理系统

由于企业内部终端数量多，人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。通过部署终端安全管理系统杜绝了非法终端和不安全终端的接人网络;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;对相关的内部人员的行为进行审计，通过严格的内部行为审计和检查，来减少内部安全威胁，同时也是对内部员工的一种威慑，有效强化内部信息安全的管理，将企业的信息安全管理规定通过技术的手段得到落实。

2.7建立企业身份认证系统

传统的口令认证方式虽然简单，但是由于其易受到窃听、重放等攻击的安全缺陷，使其已无法满足当前复杂网络环境下的安全认证需求，因此涌现了诸如:数字证书、动态口令、智能卡、生物识别等多种认证方式。目前，基于PKI (Public Key Infrastructure)技术体系的身份

　　认证系统能够为企业的敏感通信和交易提供一套信息安全保障，包括保密性、完整性、真实性和不可否认。确保企业信息资源的访问得到正式的授权，验证资源访问者的合法身份，将风险进一步细化，尽可能地减轻风险可能造成的损失。

　　2.8安全服务与培训

任何安全策略的制定与实施、安全设备的安装配置与管理，其中最关键的因素还是人。因此根据相关的法律、法规、政策，制定出符合企业自身特点的安全战略并加以实施，对企业的网络安全人员进行相关的专业知识及安全意识的培训，是整个网络安全解决方案中重要的一个环节。

　　2.9完善安全管理制度

俗话说“信息安全，三分技术，七分管理”，企业除了做好应用安全，网络安全，系统安全等保障措施外，还必须建立相应的管理机构，健全相应的管理措施，并利用必要的技术和工具、依据有效的管理流程对各种孤立、松散的安全资源的日常操作、运行维护、审计监督、文档管理进行统一管理，以期使它们发挥更大的功效，避免由于我们管理中存在的漏洞引起整个信息与网络系统的不安全。

　　3总结

企业信息化虽然面临众多安全威胁，但通过必要的技术和管理手段，是能够构建一个安全可靠网络环境的，为企业的快速发展提供信息化服务。