大型企业安全现状评估探讨

大型企业安全现状评估探讨（精选6篇）

大型企业安全现状评估探讨篇1

大型企业安全现状评估探讨

介绍了大型企业安全现状评估工作程序和制定安全对策措施的原则,对安全生产工作分类监管和安全管理档案提出了建议.

作者：方贤进 Fang Xianjin 作者单位：中国石油化工股份有限公司管道储运公司,江苏徐州,221008刊名：安全、健康和环境英文刊名：SAFETY HEALTH & ENVIRONMENT年，卷(期)：8(12)分类号：X9关键词：安全现状评估安全等级安全对策分类监管

大型企业安全现状评估探讨篇2

传统的安全解决方案,大多是将防火墙(FW)、入侵防御(IPS)、防病毒(AV)、应用层防护、流量控制等设备作补丁式的设备堆叠。此解决方案存在投资高、维护成本高、效率低、维护复杂等缺点,尤其是多种功能的“串糖葫芦式”的叠加。

同时,传统的安全解决方案还存在以下弊病:服务器之间如果发生攻击无法防范。由于安全设备众多当发生安全事件后,需要从每台设备上调取日志,大大增加了信息中心的负担一个数据包需要经过多次解封包,延时变高,效率降低。

2 威胁分析

2.1 服务器主机安全威胁

漏洞主要是因为设计和实施中出现错误所致,造成信息完整性、可获得性和保密性受损。错误通常在软件中,也存在于各个信息系统层,从协议规格到设计到物理硬件。网络漏洞还可能是恶意用户或自动恶意代码故意为之。重要系统或网络中单个漏洞可能会严重破坏一个机构的安全态势。

漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。

2.2 服务器内网安全威胁

学校网络复杂,区域众多,一旦发生区域之间的网络攻击威胁,会严重影响到学校的网络和业务的正常运行。任何一个联网的用户个人终端或服务器,都可能成为攻击整个学校网络的跳板,危及整个学校的网络安全。

2.3 外部、内部攻击针对Web的攻击

现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。我目前已建有多种WEB应用服务如OA系统、门户网站等,部门之间得到有效协同,业务流程得到有效优化,工作效率得到有效提高,运行成本也大大降低。

然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75% 都是发生在Web应用而非网络层面上。同时,数据也显示,2/3 的Web站点都相当脆弱,易受攻击。利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解,即可完成诸如盗取、篡改重要信息数据、更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。

3 可行性方案

3.1 总体设计思路

针对大型企业信息系统存在的风险,同时根据安全事件发生的三个时间点,设计了一个防御功能强大的可行性方案,做到事前、事中、事后成为一个可闭环又可循环的方式去降低潜在的威胁,对于事中疏漏的攻击,可用事前的预发现和事后的弥补,形成环环相扣的动态安全防护。事前是用扫描方式主动检查服务器、网络设备、Web应用,发现漏洞并及时修补,同时把结果形成新的防护规则增加到事中的防护策略中,而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此,不能进一步修改和损坏网站文件。

3.2 技术可行性

完全不同于以往传统的硬件糖葫芦式的安全部署方式,而是通过在虚拟机上部署专业、定制的安全防护软件的方式实现硬件设备的安全防护目的。每一台应用服务器都有自己专用的一套防护体系,相互独立,安全性最高,避免了服务器之间的相互攻击。解决之前集中管理的弊病,各安全防护设备的权限下发到各应用服务器的分管人,既大大降低了网络中心的工作量,也提高了工作效率;同时,还能使安全策略在定制的时候更为精细。同时,信息中心也拥有对所有的安全设备的最高权限,进行统一调配。随着应用的不断增加,只需要部署相应的虚拟化安全软件即可,而无需再去购买新的安全硬件设备,既可以平滑升级,同时大大降低了成本。虚拟安全设备采用双机热备的方式,避免了单点故障。漏洞扫描系统(NVS)接入网络核心层,对全网主机进行漏洞扫描,定期对Web服务器安全检查。

3.3 Web应用防护系统(WAF)

铱迅Web应用防护系统”支持多种灵活的部署方式,如透明网线模式、旁路反向代理模式、路由模式、混合部署模式、虚拟化部署模式。通过对大型企业现有网络环境进行分析,提出透明部署建议。可对网络信息中心IDC机房的WEB服务器、及各应用系统服务器,进行全方位的防护,使其所有HTTP流量都通过“铱迅Web应用防护系统”检测过滤,防止被黑客入侵、窃取及篡改文件及资料,减少损失。

铱迅Web应用防护系统”通过对网络协议底层的深层次优化,可以达到百万级别的并发连接。并提供每秒超过8 万个HTTP请求的七层深度包检测的能力。在网站数量超过500的情况下,仍然能够提供高带宽吞吐与极低的网络带宽延迟。通过铱迅独有的碎片包重组技术,可以有效防止黑客通过发送碎片的数据包来绕过检测引擎的检测。而”铱迅Web应用防护系统”可以准确的模拟TCP/IP栈进行完整重组数据包。铱迅Web应用防护系统可以有效防止黑客利用大小写变换、ASCII编码、UNICODE编码、注释和混淆等方式绕过检测引擎。铱迅内置的解码模块可以将复杂编码后的数据还原为最基本的数据格式进行匹配。

4 结语

大型工程项目安全管理现状及应对篇3

作者：孙建勇

单位：中铁十四局集团第三工程有限公司

【摘要】本文结合作者的工作经验和在建项目的实际情况，对现阶段大型工程项目的安全管理工作面临的突出问题和严峻形势进行了深刻剖析，提出了切实可行的解决措施和安全管理监控重点，为现阶段大型建设项目安全管理通病的预防和安全生产形势的有效控制提供了借鉴和参考。

【关键词】大型建设项目

安全

问题措施

项目安全管理工作的好坏现在是评价一个项目管理水平的重要指标，安全管理工作将对参建员工的生命财产安全、对企业的经营发展、对项目的经济社会效益产生越来越重要的直接影响。可以这样讲，项目安全管理工作的成功与否将直接决定项目管理的成败，在这里我就当前大型建设项目的安全管理存在的主要问题及主要解决措施阐述一下个人见解。

工程概况

郑徐客运专线（350KM/h）商丘特大桥项目西起于商丘市民权县，终止于商丘市梁园区，工程正线全长47.143km。主要工程量为连续梁四联（悬灌现浇），墩身1468个，标准梁1457片。其中临近陇海铁路既有线施工12KM，跨310国道一处，跨省道3处。工程总投资35亿元。

分析主要风险施工项目为：临电使用、高空作业、临近陇海线施工、深基坑开挖、临近民房施工、箱梁提运架、机械使用等，同时沿线全是基本农田，环保压力大。

项目安全管理工作现状

随着我国基础建设工作的逐步推进，项目安全管理随着国民经济和工程技术的发展出现了新的趋势，发生了新的问题和矛盾。

2.1安全管理面临的新形势

2.1.1 项目规模越来越大

大型基础建设项目的标段划分一般控制在30~50亿规模，工程规模的扩大导致现场安全管理的压力成几何倍数增加。

2.1.2 施工环境越来越复杂

和谐社会的创建及投资渠道的多元化造成了施工环境的复杂程度前所未有，征迁、协调、维稳等工作的复杂性让安全管理工作不在局限于施工现场。

2.1.3 机械化程度越来越高

随着人力资源成本的提高及工程机械行业整体水平的发展，现在大型工程项目摆脱了以前以人力作业为主的施工模式，集成式拌和站、旋挖转、盾构机、大吨位架桥机等现代化机械设备的广泛应用，让机械伤害这个主要危害因素的危害程度及管理难度空前提高。

2.1.4 工艺越来越复杂

随着工程技术的逐步发展，工程等级正在前所未有的提高，高等级公路、高速铁路、国际化空港等高科技施工项目彻底颠覆了以前人们对工程及建筑工人的认识，以前生产生活在灰尘和汗水中的建筑工人已经站在了科技前沿。但高科技的广泛应用也增加了工艺的复杂性和安全危害因素的未知性。

2.1.5 法律责任越来越重

随着我国法治体制建设的进行，安全法规、制度建设日益完善，以前安全生产事故只是在管理失误和企业内部进行处理，现在对工程事故相关责任人的依法判决和对企业负责人的从重处理让施工单位安全管理人员责任倍增的同时也顿感压力倍增，让他们如何依法进行安全管理成为了新的课题。

2.1.6 事故影响越来越大

和谐社会的建设让以人为本的管理思路升到了制高点，安全管理也不例外。同时政府监督、群众监督、媒体监督的多种监督形式的参与让施工单位安全事故成本和安全事故的社会影响得到了无限扩大。

2.2 安全管理面临的主要困难

新形势的发展对安全管理工作和安全管理人员提出了更高的要求，增加了更大的困难和压力，但是现阶段施工现场的管理工作却没有同步提高到相应水平，从而在安全管理中出现了多种矛盾。

a 项目规模的扩大和施工组织的复杂性与现场管理人员能力不足的矛盾。现阶段施工项目一个工区、甚至一个架子队管理的工程规模及组织难度都比以前一个标段要大，也就是说从施工组织规模来看现在一个架子队队长就相当于以前一个项目经理，但现在架子队队长的水平不能适应工程规模发展。

b 法治建设的逐步完善与施工现场人员法律意识（特别是专职安全管理人员）存在差距。法治的健全不等于法律的普及，更不等于全体参建人员的法治意识的提高，不知法、不懂法成为了依法进行安全管理的障碍。

c 危险因素的复杂性和专职安全管理人员的业务能力存在矛盾。安全管理工作面临的新的趋势要求安全管理人员懂法律、懂技术、懂施工组织、懂协调，但现在这样的专职人员极度缺乏。

d 安全管理的严峻形势与各级人员的安全意识存在矛盾。决策层不重视安全资源配置，随意克扣安全投入专项资金；安全管理人员对岗位的关键性认识不足，对从事安全管理工作的热情不高；普通工人安全意识淡薄，对违章作业、违章指挥等现象熟视无睹。

确保安全管理形式的主要措施

如何解决上述存在的矛盾，确保施工生产安全形势的稳定就成了当务之急。笔者根据所在项目的实际情况和工作经验，将解决措施总结为项目安全管理的“一、二、三、四、五”：

3.1一就是一条主线，即安全管理突出“安全生产责任制”这条主线项目负责人是项目安全管理的第一责任者，“一把手的言行是安全管理的风向标，一把手对安全的态度决定着项目所有人的态度”，这就是项目第一管理者对安全管理的绝对影响，是对第一责任人安全责任的最大担当。通过逐级签订《安全生产责任状》，在项目内部可以形成我就是安全管理的第一责任者的安全意识，项目经理是整个项目的第一责任者，分部领导是分部第一责任者，部室领导是部室的第一责任者，现场工人是自身安全的第一责任者等等，所有参建员工都清醒地认识到：安全责任就是以我为主、从我做起。

3.2二就是安全管理的两个侧重点：建章立制、现场控制

3.2.1建章立制

为使项目安全管理做到“有法可依”，进场伊始项目部就应根据项目实际情况组织编制：《项目安全生产管理办法》、《教育培训管理办法》等安全管理制度；《消防应急预案》、《防汛应急预案》等相关应急预案；《高空作业安全专项施工方案》等安全专项方案；编制下发各项切合实际的安全技术交底书；形成《安全自控体系》、《安全风险管理体系》、《安全过程控制化标准手册》三个综合管理体系文件。

3.2.2现场控制

有了完善的制度办法和措施，还要做好现场监控和管理，才能形成稳定的安全生产形势，也就是要坚决做到“有法必依”。日常控制的手段是多种多样的，但是总体思路就是通过监控和整改去落实各项安全管理制度及技术措施。古人说过“有不尽者，亦宜防微杜渐而禁于未然”，而这种防患于未然未然的理念正是我们现场控制和安全检查的基本原则。

3.3三就是要突出“教育培训、综合治理、经济杠杆”三个抓手

3.3.1教育培训

教育培训是增强安全意识、提高安全管理能力、提升综合素质的万能法宝。对项目管理层、业务人员、一线工人开展不同形式、不同内容的安全培训，能顾让全体参建员工熟悉施工现场危险源及防护措施，知道自己什么该做、什么不该做、如何做，从而达到保护自己、保护他人的目的。教育培训的方式是多种多样、不拘一格的：外部委托培养、内部集中学习、组织现场会、工作中传帮带、三工（工前、工中、工后）教育、现场展板及宣传、视频和网络教育等。现场安全教育培训一定要坚持“针对性、及时性、实效性”的原则，做到干什么学什么、缺什么补什么。3.3.2综合治理

按照安全系统管理理论，安全管理是一个综合工程。危险源的多样性决定了安全管理必须采取多种管理手段、采用多种措施、全员参与、全过程控制才能取得预期效果。国家安全管理方针于2005年修订为“安全第一、预防为主、综合治理”，说明在国家层面上多种手段治理安全生产早就已经实施。而实施综合治理这个管理理念主要应通过完善如下几大要素进行落实：建立健全安全管理制度；落实安全生产责任制度；开展危险源辨识活动；制定危险源防护措施方案；足额配置专职及兼职安全管理及防护人员；确保安全物资保障和资金保障；做好全员、全过程教育培训；抓好制度落实及检查整改；严格事故调查及处理；重视维稳工作及集体事件，培育项目安全文化等。

3.3.3经济杠杆

现阶段各施工单位对项目经济效益最大化的追求导致项目安全管理难度的加大和项目安全投入的紧缩，各级人员对安全、质量、进度、效益的关系难以平衡对待。所谓“以彼之矛攻彼之盾”，在安全管理中充分发挥经济杠杆的作用往往能

收到意想不到的效果。对那些在施工过程中不履行安全职责、不遵守劳动纪律、违章作业、野蛮施工、安全措施不落实、存在安全隐患、发生安全事故的队伍和个人，施以一定金额的经济处罚，同时对在安全管理中表现突出的单位和个人进行表彰，通常都能收到理想效果。

3.4 四就是要改变“四重四轻”的教育培训模式

当前施工现场的安全培训教育存在“重教育形式，轻教育效果；重管理人员教育，轻一线人员教育；重经济处罚，轻机制建设；重事故后教育，轻事故前防范”等不良现象。教育培训不是目的，只是手段，现在的基础建设施工现场需要大量的高素质、高水平的管理人员，需要大批懂要求、懂操作、懂标准的一线员工，但施工现场的人员配备跟实际需要存在很大差距，因此，不了解当前安全教育培训的误区和弊病，就不可能达到我们安全教育的目标。

3.5 五就是要解决安全管理中的“五硬五软”问题

3.5.1嘴上喊得硬，实际行动软

现在项目的特点决定了现场的安全隐患是大量存在的，这是客观事实。而这些隐患要靠我们全体参建人员一项一项的去控制，一点一滴的消除，说的再漂亮也解决不了现场危险因素的存在，因此我们要求安全管理坚持“会要短、腿要长”的原则，坚决克服“纸上谈兵”的工作方式，多到施工一线发现问题、解决问题。

3.5.2表现形式硬，实际内容软

现阶段各种“安全大检查、安全专项治理活动、安全专题会议、安全专项方案”等管理形势层出不穷，但好多方案编制完成后不能指导现场，好多活动开展后不能解决现场问题，为切实解决形势硬内容软的现象，项目部领导应强制要求各项安全管理活动要切实走“群众路线”，方案的制定要与一线工人探讨，安全专题会议要有一线工人参加，安全专项活动要一线工人评价时效，各种文件精神传达要一线工人领会。

3.5.3出了事故硬，事故过后软

百密也会有一疏，智者千虑必有一失。任何完美的规划和防护，都会有意外的发生，摩、擦、碰、刮的事情在施工现场是难以杜绝的，安全事故处理应坚持事故处理的“四不放过”原则，再小的事故也要追究责任，再小的影响也要吸收教训，再小的范围也要全员教育，再小的损失也要经济处罚，从而达到一种理念的贯彻“让自己的教训成为别人经验的人是傻瓜，从别人的教训中吸收经验的是智

者”。

3.5.4迎接检查硬，隐患整改软

安全检查是安全管理必不可少的重要环节和手段，但是我们发现在检查过程中存在“为了检查而检查、为了领导而检查、为了完成任务而检查”的现象，即检查的目的不是为了解决现场的问题和隐患，而是为了完成某个任务和各级要求而搞的务虚活动，而施工一线也逐渐将问题整改变成了所谓的“迎检”。现场漂亮了、问题掩埋了，但是事故的隐患缺加大了。为了彻底改变这种现象，项目部应按照“谁出事谁负责的原则”，现场检查明确问题和根源、明确复查人员和整改责任人，月底通报明确分部及架子队工班，通报奖罚明确到个人，从而杜绝将检查变成“迎检”的现象。

3.5.5效益指标硬，安全投入软

安全投入与项目效益的关系已经讨论好长时间了，项目管理层应在安全投入上绝对不打折扣，坚决不降低标准，从来不延时供给，在安全资金上一直坚持“足额、及时”的原则安排使用。防护材料采购、防护人员聘任、消防及应急物资配备，安全教育及宣传工作的投入等等。结束语

大型企业安全现状评估探讨篇4

今天，省国资委首次召开的出资企业安全生产会，对于做好出资企业的安全生产极为重要。为此，我代表DY公司，简要地汇报公司安全生产管理情况。请各位领导给予指导和帮助。

公司现有12个下属单位，1万名在岗职工，主要从事矿山和铜冶炼生产。共有各类专业技术人员3800人。成为集采矿、选矿、冶炼化工、压延加工、余热发电、综合回收、科研设计、地勘井巷、建筑安装、机械修造、动力运输于一体的国有大型铜业联合企业，同时也是H省重点企业。

公司产品有近百种，主要为粗铜、阴极铜、黄金、白银、铜材、铝材等有色金属产品；铜精矿、铁精矿、硫精矿等矿产品；硫酸、磷肥等化工产品；硫酸铜、硫酸锌、精硒、铂钯等综合利用产品。

近几年来，公司认真贯彻执行国家和省市有关安全生产的法律、法规及具体要求，坚持“安全第一，预防为主，综合治理”的方针，始终把安全生产摆在公司党政的重要议事日程，不断强化安全生产管理，采取切实有效措施，狠抓安全生产，努力把安全生产事故率控制在考核指标之内（2005年工亡1人，重伤事故、重大设备事故、重大火灾事故、重大交通责任事故均为零。千人负伤率为1.3‰），为企业的生产经营提供了良好的安全环境。我们的主要做法是：

（一）坚持完善安全生产管理体系，层层落实安全生产责任制。

公司坚持以“三个代表”的重要思想为指导，站在“安全发展、国泰民安”的高度，与时俱进，始终把搞好安全生产作为关心职工、促进企业发展的重要来抓。各级党组织在党委会和中心组学习会上，定期学习企业安全管理的规章制度和党中央、国务院及省市领导关于安全生产的一系列指示精神，以及国家对重大特大事故责任者的处理决定通报，专题讨论公司安全生产中有关问题。为了加强安全生产的领导，公司成立了以经理为主任的安全生产委员会，并在企业内部改革中，坚持做到安全生产管理部门不改，人员少减。目前，公司设有综合安全生产管理部门----安全环保部。各厂(矿)也相应建立了安全生产委员会和安环科；车间、工段、班组设有专(兼)职安全员。全公司现有专(兼)职安全员1300多人，其中专职安全管理干部185人。同时，工会组织设有劳动监督检查委员会或小组，共青团组织建立了青年安全生产监督岗，形成了横向到边、纵向到底的安全生产管理体系和“安全生产，人人有责，党政工团，齐抓共管”的安全生产监督体系。

在安全管理中，公司坚持抓好两个重点：一是班组安全管理。从抓班组长培养入手，提高他们的素质和管理水平，强化班组管理。扎扎实实地开展星期一的班组安全活动，并在班组中开展以“个人无违章，岗位无隐患，班组无事故，管理无漏洞”为主要内容的“四无”活动。通过定期检查评比，树立班组安全管理的先进典型，推广先进经验，促进班组安全上台阶。二是抓重点要害部位和危险源点管理。公司制定了《危险源点分级管理办法》，对油库、炸药库，副井等危险源点进行评价分级，并制定安全措施，建立档案，制定应急救援预案，加强检查和演练。对于尾矿库的管理和地质灾害管理，公司每年都要制定《尾矿库渡汛预案》及《地质灾害预案》，从组织、人员、物资、措施上落实防汛抢险方案，以保证尾矿库正常运行，有效防止地质灾害，最大限度地减轻地质灾害损失和避免人身伤亡。

为了把安全生产责任落到实处，公司制定和完善了各级管理干部、职能部门以及各岗位的安全生产责任制，自上而下制定和分解安全生产目标，层层签订安全生产目标责任状，实行安全生产风险抵押承包，严格考核，坚决兑现。各厂(矿)结合实际，还实行了管理干部挂钩班组制度，机关干部参加班组安全活动，帮助班组搞好安全生产，使管理干部安全生产责任进一步落到实处。

为了加强安全生产制度建设，公司制订了《安全生产管理办法》、《安全生产检查制度》、《安生产全教育制度》、《重大事故隐患管理办法》、《经济开发体、外包队和各类雇工安全生产监督管理办法》、《民用爆破器材安全管理规定》、《安全生产责任承包管理办法》、《矿山救护管理办法》、《安全生产标准化工厂(矿山)、车间、班组条件及验收办法》、《公司应急救援预案》等等一系列管理制度，使安全生产做到有章可循，有法可依，基本上走上制度化轨道。

(二)坚持开展安全生产宣传教育培训，提高干部职工的安全意识。

公司坚持以活动为载体，不断深化安全生产宣传教育和培训，并取得实效。一是深入开展以“操作程序和动作标准”的制定和执行为核心，以管理标准化、操作标准化、现场标准化为内容，分班组、车间、厂(矿)三个层次的安全生产标准化建设活动。广大职工严格执行标准化操作后，保持了较长周期安全生产。冶炼厂连续1

9年保持省安全生产红旗单位称号。二是深入开展以“我懂安全、我要安全，人人有责、确保安全”为主题，以“十个一”为主要内容的“安康杯”竞赛活动。三是精心组织“安全生产月”活动。活动期间，公司通过电视、报纸、广播、黑板报等宣传媒体，大力宣传安全生产。同时，组织开展安全知识竞赛、安全签名、安全文艺汇演、安全辩论赛、安全漫画展、安全演讲赛等活动，营造安全氛围，提高职工安全意识。四是组织开展各级管理干部的安全管理知识培训。公司规定，对新提拔的各级领导干部要进行脱产培训，考试存档，作为干部考核的依据之一。五是组织开展安全管理人员的专业知识培训和特种作业人员的培训，以及每年进行一次全员的标准化操作培训。坚持教育培训，考试合格后持证上岗；六是组织新工人的“三级”安全教育。未通过者，不提供上岗机会；

(三)加强安全监督检查和隐患整治，严肃查处各类安全事故。

公司坚持“班组日检、工段周检、车间月检、厂矿季检、公司春秋两季大检查制度”。此外，还开展不定期、专业性节假日期间临时性的安全检查。检查内容具体，重点突出，对查出的隐患，严格执行“三定四不推”的原则，及时进行整改。近几年来，公司已整改的大的隐患十多项，投入的整改资金达2700万元。如铜绿山矿炸药库隐患和尾矿库两项工程投入700多万元。达到了预期的效果。

为了杜绝重大伤亡事故，强化重大安全隐患管理，公司制定了《伤亡事故责任者处理规定》，对发生的各类事故，始终坚持“四不放过”原则，对事故责任者，严格按规定给予行政处分和经济处罚，并在全公司进行通报。达到了“处理一人，震动一片，教育全员”为目的。

（四）作好预防为主，开展安全评价，变安全管理由事后查处为事前预防。

按照《安全生产法》、《危险化学品管理条例》等法规，根据国家安全生产监督管理局的要求，公司完成了多种安全专项整治。

1、非煤矿山整治。公司对这项高度重视，成立专门组织，认真落实。依据国家非煤矿山安全整治验收标准，公司非煤矿山单位对照标准，逐条逐项地进行了整治、完善。通过市安全生产局组织的整治验收，全部达到合格标准，符合国家要求。

2、危化品专项整治验收。公司组织对重大危险源和危险化学品进行了清理、登记、建档，编写了事故应急救援预案，并及时组织职工进行事故应急救援演习，有效地提高了职工预防事故、处理事故和减少事故损失的能力。公司10家单位均进行了重大危险源、危险化学品的生产、储存、使用、经营、运输的安全评价，通过了市安全生产局组织的检查验收，办理了各种相关资质证书。

3、按国家非煤矿山统一进行安全评估的规定和省安全生产局安全评估的要求，组织开展了铜绿山矿安全评估，并通过省安全生产局组织的专家评估验收，达到了国家A级矿山标准。

4、对新建、改建、扩建工程项目进行了安全评价，确保了劳动安全卫生“三同时”的落实，实现了设备、设施的本质安全，改善了作业场所生产环境条件，保障了职工人身生命健康。

4、积极开展事故应急预案的编制、学习及演练，并取得较好实效。矿山兼职救护队定期进行演练，使其技能不断提高。

近几年来，在上级的领导下，虽然我们在安全生产管理中做了大量的，也取得实效，但安全生产形势仍然严峻，也暴露出了公司安全管理中存在的问题。经过认真分析，我们认为主要在以下几个方面：

l、青工数量多，技能参差不齐。近年来，随着公司减员分流、内部退养政策的实施，一大批有经验、懂技术的职工离开岗位，换上来的青工占职工总数的90％以上。少数青工安全生产意识不强，稍有疏忽，就容易发生事故。

2、安全教育培训还要不断加强。如新工人的“三级”安全教育，特别是班组级培训，效果还没有完全达到要求，有待进一步加强。

3、我公司是一个近50年史的老企业，有的设备设施老化陈旧，工艺也相对落后。尽管公司已开展了大量的技术改造，但还需改造的项目很多，资金难以满足需要。

4、安全生产管理制度、岗位操作规程有时执行不到位，习惯性违章仍有发生，这也是导致事故发生的原因。

5、矿山周边非法小矿井越界开采及滥采乱挖现象依然严重，尤其是铜绿山矿周围情况较为突出，严重威胁矿山的安全生产。

上述这些问题，公司正在组织研究解决这些问题的措施和办法。

安全生产是人命关天的头等大事。我们要认真贯彻落实党中央国务院以及省市关于安全生产的重要指示，认真执行国家安全生产的法律法规和方针政策，加大安全生产宣传教育力度，加大隐患的查处和整改力度，进一步搞好公司的安全生产，为企业改革和发展创造一个稳定的安全环境。

大型企业安全现状评估探讨篇5

企业网络安全解决方案

姓名：

学号：

指导老师：

系名：

专业：

班级：

XXXXXXXXXX计算机专业毕业设计

摘

要

随着社会的飞速发展，网络技术的也在飞速的发展之中，现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已经给政府以及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的。

本文是构思了一个虚拟的企业网络的设计，重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略，保证了内部服务器等的信息安全，按照需求对企业网络安全进行了系统的规划，对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下，提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系，是网络安全系统真正获得较好的效果。关键词：网络，安全，VPN，防火墙，防病毒

XXXXXXXXXX计算机专业毕业设计

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

XXXXXXXXXX计算机专业毕业设计

摘

要............................................................................................................................................................I 第一章绪

论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章

企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总

结...........................................................................................................................................................45 致

谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47

III

XXXXXXXXXX计算机专业毕业设计

第一章绪

论

1.1 网络的起源

与很多人的想象相反，Internet并非某一完美计划的结果，Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初，没有人能想到它会进入千家万户，也没有人能想到它的商业用途。

1969年12月，Internet的前身--美国的ARPA网（为了能在爆发核战争时保障通信联络，美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET）投入运行，它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化，它为后来的计算机网络打下了基础。

八十年代初，随着PC个人微机应用的推广，PC联网的需求也随之增大，各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构，即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小，五脏俱全”的小计算机，每个PC机用户的主要任务仍在自己的PC机上运行，仅在需要访问共享磁盘文件时才通过网络访问文件服务器，体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆（费用少，传输距离100米）、光纤等高速传输介质，使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工：PC机面向用户，微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。

进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后，全世界许多国家纷纷制定和建立本国的NII，从而极大地推动了计算机网络技术的发展，使计算机网络进入了一个崭新的阶段。目前，全球以美国为核心的高速计算机互联网络即Internet已经形成，Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2（Internet 2）和下一代互联网（Next Generation Internet）。可以说，网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。

1.2网络安全的重要性

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对

XXXXXXXXXX计算机专业毕业设计

计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。

为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。

XXXXXXXXXX计算机专业毕业设计

第二章企业网络安全概述

2.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，由于企业在各地可能有不同公司，但是公司之间信息通过广域网相连，所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。

1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。

3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。

6)备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，本部与分部之间运行VPN等防护通信信息的安全性，加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，如财政部等要设立访问权限；根据企业实际需要配置好相应的数据策略，并按策略认真执行。

2.2 企业网络的安全误区

(一)安装防火墙就安全了

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

(二)安装了最新的杀毒软件就不怕病毒了

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

XXXXXXXXXX计算机专业毕业设计

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

(四)只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

(五)文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

(六)网络安全主要来自外部

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

XXXXXXXXXX计算机专业毕业设计

第三章

企业网络总体设计方案

3.1 公司背景

公司北京总部有一栋大楼，员工人数大约800人，在全国设有4个分公司（上海、广州、重庆和西安）。总部与分公司利用当地的ISP连接。通过网络安全方案设计，加固企业网络，避免因为安全问题导致的业务停滞；同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障，直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。

3.2 企业网络安全需求

公司根据网络需求，建设一个企业网络，北京总部存储主要机密信息在服务器中，有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅，需要各部门隔开，同时除了经理办公室外其余不能访问财政部，而接待厅不能访问公司内部网络，只能连通外网。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如VPN、NAT等。因此本企业的网络安全构架要求如下：

（1）根据公司需求组建网络（2）保证网络的连通性（3）保护网络信息的安全性

（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏

（6）保护企业本部与分部之间通信信息的完整与安全性（7）防范病毒的侵害（8）实现网络的安全管理。

3.3 需求分析

通过对公司的实际需求来规划网络设计，为公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过

XXXXXXXXXX计算机专业毕业设计

网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全（2）IP地址域的划分与管理（3）划分VLAN控制内网安全（4）安装防火墙体系

（5）建立VPN(虚拟专用网络)确保数据安全（6）安装防病毒服务器（7）加强企业对网络资源的管理（8）做好访问控制权限配置（9）做好对网络设备访问的权限

3.4 企业网络结构

北京总公司网络拓扑图，如图2-1所示:

XXXXXXXXXX计算机专业毕业设计

服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部

图2-1 北京总部网络结构

分公司网络拓扑,如图2.2所示：

XXXXXXXXXX计算机专业毕业设计

上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器

图2-2 公司分部网络结构

图2.1与2.2通过防火墙相连，防火墙上做NAT转换，Easy VPN等。核心交换机配置基于VLAN的DHCP，网络设备仅仅只能由网络管理员进行远程控制，就算是Console控制也需要特定的密码，外部分公司通过VPN连接能够访问北京总公司内部网络，北京总公司内网中，接待厅网络设备仅仅能访问外部网络，无法访问公司内网。

XXXXXXXXXX计算机专业毕业设计

3.5 企业IP地址的划分

由于是现实中，公网IP地址需要向ISP运行商申请，而本解决方案是虚拟题，故公网IP为虚拟的，由于现如今IPv4地址及其短缺，而IPv6技术还不是很成熟，所以公司内部使用私有地址网段，本着节省地址的原则，北京公司内部一共有800左右终端，所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全，以及总公司与分公司之间连通性的网络安全，所以分公司内部没有详细化，所以分公司地址一律192.168.1.1/24网段，ip地址分配为一下：

总公司总网段：192.168.0.0/22

名称 VLAN ID IPv4地址段网关地址

经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器无 192.168.3.244/30 路由器与防火墙无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章企业网络安全技术介绍

4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络（Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传

XXXXXXXXXX计算机专业毕业设计

输模式〉、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

4.1.2 VPN 的分类

根据不同的划分标准，VPN可以按几个标准进行分类划分

1.按VPN的协议分类 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

2.按VPN的应用分类

1)Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。

2)Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。

3)Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接

3.按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可只支持简单的PPTP或IPSEC。

2）交换机式VPN：主要应用于连接用户较少的VPN网络

3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种，EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂，支持POLICY PUSHING等特性，此技术基于IPsec协议为基础，扩展的的cisco私有协议，支持远程登录，并且根据自己的AAA的服务器去认证其可靠性，如认证通过，会为访问者分配自己内部IP地址，保证其访问内部信息。在Easy VPN连接成功后，对于ISP运行商来说总公司与分公司数据的传输是透明的，就像拉了一根专线一样，通过抓包等方式捕获数据包会发现全为ESP数据，无法从数据包中获得任何信息，由于其加密方式为HASH速算，根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0，所以数据的传输上的安全性被大大地保证了。

XXXXXXXXXX计算机专业毕业设计

4.2 SSH 4.2.1 SSH介绍

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。

SSH 主要有三部分组成：

1）传输层协议 [SSH-TRANS]

提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

2）用户认证协议 [SSH-USERAUTH]

用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希H）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

3）连接协议 [SSH-CONNECT]

4.2.2 SSH与Telnet的区别

传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish，数据加密标准(DES)，以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。

XXXXXXXXXX计算机专业毕业设计

4.3 AAA服务器

4.3.1 AAA介绍

AAA是认证、授权和记账（Authentication、Authorization、Accounting）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1、认证(Authentication): 验证用户是否可以获得访问权限；

2、授权(Authorization): 授权用户可以使用哪些服务；

3、审计(Accounting): 记录用户使用网络资源的情况。

4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前，对用户进行认证。

如需配置AAA认证，管理员可以创建一个命名的认证列表，然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而，当管理员没有定义其他认证方法是，cisco路由器和交换机上的所有接口都关联了一个默认的方法列表，名为Default。但管理员定义的方法列表会覆盖默认方法列表。

除了本地认证、线路密码的Enable认证以外，其他所有的认证方法都需要使用AAA。

4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权，或者基于每个用户账号列表或用户组为每个服务进行授权。

交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库，并访问其中的一系列属性来工作的，这些说性描述了网络用户的授权服务，比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制，集中式服务器向其返回授权结果，告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器，比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器（比如RADIUS和TACACS+）通过把用户与相应的AVP（属性值对）相关联，来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件（User Profile）和组配置文件（Group Profile）中指定的AVP，为相应的用户和组定义了认证和授权特性。

XXXXXXXXXX计算机专业毕业设计

4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法，这些信息可以用于计费（billing）、查账（auditing）和报告（reporting）。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令（比如PPP）、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户，从而对于查账和增强安全性有很大帮助。

在很多环境中，AAA都会使用多种协议来管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色，那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。

AAA是动态配置的，它允许管理员基于每条线路（每个用户）或者每个服务（比如IP、IPX或VPDN[虚拟私有拨号网络]）来配置认证和授权。管理员先要创建方法列表，然后把这些方法列表应用到指定的服务或接口上，以针对每条线路或每个用户进行运作。

4.4 IDS 入侵检测系统

由于Cisco packet Tracer 5.3无法模拟IDS设备，又由于IDS在实际企业网络中作用很大，所以在拓扑图中将其设计进去，在这里做一些基本介绍。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

4.5 firewall 防火墙

4.5.1 什么是防火墙

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际

XXXXXXXXXX计算机专业毕业设计

上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

4.5.2 防火墙类型

主要有2中，网络防火墙和应用防火墙。

1）网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

设置交换机域名，与SSH验证有关用户登入特权模式密码在分配时排除该IP地址这些地址为网段的网关地址开启一个DHCP地址池分配的网络段默认网关IP地址地址 21

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能，这条很重，不然无法启动路由协议等！username beijiangong password 0 cisco 设置远程登录时用户名与密码！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络，与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段）access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa（隐藏命令，在show run中看不到！!

XXXXXXXXXX计算机专业毕业设计

line con 0 password cisco 设置console密码

line vty 0 4 进入vty接口默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH！end 5.3.2 路由器与防火墙

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!

aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码

pool ez 为客户分配内部IP地址池!

XXXXXXXXXX计算机专业毕业设计

crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式

set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组

crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组

crypto map tom client configuration address respond 加密组tom为客户分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由都走s0/2/0

XXXXXXXXXX计算机专业毕业设计

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服务器

AAA服务器配置：

XXXXXXXXXX计算机专业毕业设计

HTTP服务器：

DNS服务器：

XXXXXXXXXX计算机专业毕业设计

第六章项目测试

Packet Tracer 模拟器实验拓扑图

所有设备的用户名为：beijiangong 密码：cisco

VPN 登录配置：组名：beijiangong Key:123 服务器IP：100.1.1.1 用户名：123 密码：123

XXXXXXXXXX计算机专业毕业设计

北京总公司图A

分公司以及ISP网络图B

XXXXXXXXXX计算机专业毕业设计

6.1 DHCP验证

北京总公司内网所有设备都是通过DHCP获取的IP地址，但是不同VLAN所获得的IP地址段是不同的，验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。

1）经理办公室 VLAN 10 配置方法，首先在Packet Tracer下，点击相应的PC，如图6-1-1

图6-1-1 点击左上角第一栏，ip Configuration 进入IP地址配置画面如图6-1-2

XXXXXXXXXX计算机专业毕业设计

IP地址配置画面图6-1-2

点击DHCP，获取IP地址，等待1-2S后查看结果如图6-1-3

图6-1-3 根据提示可以看出获得了正确的IP地址。

2）财政部 VLAN 20 如图6-1-4

图6-1-4

XXXXXXXXXX计算机专业毕业设计

3）软件部 VLAN 30 如图6-1-5

图6-1-5 4）市场部 VLAN 40 如图 6-1-6

图6-1-6 5）系统集成部 VLAN 50 如图6-1-7

图6-1-7

XXXXXXXXXX计算机专业毕业设计

6)参观中心 VLAN 60 如图 6-1-8

图6-1-8

6.2 网络连通性

建立好网络后，最重要的一点就是网络连通性，根据公司需求，内部计算机获得自己IP地址，自己的DNS服务器与网关，那应该可以去访问外网服务器，以达到访问公网的目的。

1）随便开启一台PC机，如经理办公室PC 图6-2-1

图6-2-1 点击Command prompt 进入其电脑的CMD命令格式

图6-2-2

XXXXXXXXXX计算机专业毕业设计

图6-2-2

输入ping 命令，在虚拟网络中，如图Ａ运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2，可能第一个包会因为ARP的关系而丢失，但是后续会很稳定。如图6-2-3

图6-2-3

2）检查网络内部DNS的正确性

XXXXXXXXXX计算机专业毕业设计

打开PC机浏览器，如下图所示6-2-4

图6-2-4 如图B所示，在公网中，有一个百度的服务器，域名为通过浏览器访问百度看是否成功。如图6-2-5

图6-2-5 如图所示，访问成功，表示公司内部网络连通性已经保证畅通。

6.3 网络安全性

在保证了连通性的基础上，验证其安全性

6.3.1 SSH 与console的权限

在设备安装完毕后，公司内部不可能派专门的保安去看护，所以网络设备的安全就需要有所保证，不能让人们轻易的进入其配置模式，轻易的去更改配置，所以要设置用户名密码。如图6-3-1所示，一台PC需要console核心交换机

XXXXXXXXXX计算机专业毕业设计

图6-3-1 如图6-2-7所示，需要点击下图所示单元进入console连接模式

图6-3-2 选好会话数，速率等基本参数后点击OK连接设备的控制台如图6-3-3

图6-3-3

发现需要输入用户名密码，否侧无法进入控制界面，输入用户名密码后进入用户模式，进入特权模式需要输入特权密码，输入正确用户名密码后才能进入。如图6-3-4

XXXXXXXXXX计算机专业毕业设计

图6-3-4

当然console的限制很大，有监控设备，与机柜锁，能够最大限度的保证其安全性，所以console的安全性问题不是很大，而telnet 的控制起来就需要用策略来限制了。

如果想telnet设备需要知道其设备上的IP地址，而本公司DHCP中的网关地址基本都是在核心上，所以设备上的IP地址基本谁都知道，而核心设备仅仅需要网络管理员去管理，所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示，仅有网络管理员才能ssh设备，其他员工无法ssh设备。这是管理员ssh的效果，输入正确的用户名密码后，进入其配置界面。如图6-3-5

图6-2-10 这是其他设备ssh的效果，无论尝试几个设备上的地址都被拒绝了，这样就能保证设备控制的安全性。虽然能够访问其地址，但是无法取得其TCP端口号22的访问权如图6-3-6

XXXXXXXXXX计算机专业毕业设计

图6-3-6

6.3.2 网络连通安全性

在一个公司内部，虽然大家共享上网资源，但是各部门之间的资料还是有一些机密的，特别是财政部，一个公司财政信息都是很机密的，所以不希望其他公司内部Pc能够连通到此部门，所以也要通过acl去限制，去隔离一些区域。

财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2

正常情况下，三个部门是可以正常ping通的，但是财政部的安全性，所以其他2个部门无法访问财政部，但是可以互相访问。

如图6-3-7所示，软件部无法访问财政部，但是可以访问市场部

XXXXXXXXXX计算机专业毕业设计

图6-3-7 这样就保证了财政部的独立性，保证了其安全，由于公司内部需要有客人访问，而客人往往需要上网，所以需要控制其上网行为，如果有恶意行为，盗取公司其他部门资料，那也会造成严重的损失，所以，要保证其在公司参观中心上网，只能访问外网，不能访问公司内部其他主机。

如图6-3-8所示，参观中心的终端能够访问外网百度服务器，但是无法访问内部市场部PC设备。

XXXXXXXXXX计算机专业毕业设计

图6-3-8

6.4 分公司与总公司安全性

由于分公司之间通过ISP与总公司通信，所以数据通信需要安全性，在这里我选择了EASY VPN，由于各分公司内部全部使用私网地址，所以无法与总公司内部通信，因为私网地址无法宣告到公网中，而通过easy vpn连接后，本部通过给客户分配总公司自己的私网地址，使其能够访问公司内部，而通信过程中数据时加密的，无法窃取，保证了其安全性。

如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。

图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2

XXXXXXXXXX计算机专业毕业设计

图6-4-2 连接后需要等2-3秒，即连接成功，而且显示被分配的IP地址如图6-4-3

图6-4-3

进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4

XXXXXXXXXX计算机专业毕业设计

图6-4-4 这样网络的安全性就得到了很大的提升。

XXXXXXXXXX计算机专业毕业设计

总

结

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。

大型企业安全现状评估探讨篇6

1 大型体育赛事概述

1.1 大型体育赛事概念

大型体育赛事是指那些规模宏大、影响深远、组织复杂, 能吸引大量公众及媒体关注和参与, 并对举办地有重要历史意义的, 一般需要政府参与提供的体育赛事活动, 其本质是一种公共文化活动。现代大型体育赛事己经成为一个国家或地区重要的民族文化景观, 并对举办地经济、社会、文化、环境等产生重要影响[1]。

1.2 大型体育赛事的组织

徐昱玫[2]认为大型体育赛事有竞赛筹备期、赛前准备期、竞赛期以及竞赛结束期四个阶段。组织工作涉及社会各个方面, 是一个系统工程。筹备时, 赛事整体规划应从宏观和微观考虑。组织工作应以竞赛为核心, 根据总体部署和要求合理分配人力、物力、财力。要建立竞赛部门与其他部门的系统运行机制, 成立负责专门协调的部门, 建立支持多种沟通协作方式的信息平台以保证运作过程中信息对称、沟通渠道通畅和协调。对整个赛事组织工作进行部署、规划和设计, 编制赛事系统工程流程图。

1.3 风险和体育赛事风险的概念

风险有众多的定义和理解。美国Haynes (海恩斯) 1895年认为“风险意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征, 某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性, 则该行为就承担了风险”。1921年, Knight (奈特) 认为风险是“可测定的不确定性”而“不可测定的不确定性”才是真正意义上的不确定性。美国学者韦氏 (Webster) 认为, 风险是遭受损失的一种可能性。在一个项目中, 损失可能有各种不同的后果形式, 如质量的降低、费用的增加或项目完成的推迟等。美国Chicken和Posner在1998年提出风险 (risk) 应是损害 (hazard) 和对损害暴露度 (exposure) 两种因素的综合, 并给出了表达式。鞠彦兵认为风险是指损失发生的可能性, 由潜在损失、损失的大小和不确定性等三个要素组成, 具有可控性、相关性、复杂性等特性。不确定性是客观存在的, 不以人的意志为转移[3]。邱菀华对风险的观点为: (1) 把风险定义为损失机会, 这表明风险是在一定状况下的概率度。 (2) 损失的不确定性。分为客观不确定性和主观的不确定性。 (3) 实际与预期结果的离差。 (4) 实际结果偏离预期结果的概率。风险的定义基本归结为风险就是实现目标活动的不确定性和可能发生的风险[4]。

李国胜等[5]指出, 体育赛事的风险指在举办体育赛事过程中所表现的特定危害性事件发生的可能性与后果的综合。其特征为: (1) 存在的客观必然性、 (2) 发生机率的偶然性、 (3) 风险的可变性、 (4) 风险发生的相关性, 。

卢文云等[6]认为大型体育赛事风险主要有几类: (1) 组委会收入损失风险、 (2) 财产损失风险、 (3) 人身意外伤害风险、 (4) 民事责任赔偿风险、 (5) 其他特殊风险。

2 大型体育赛事风险评估指标研究现状

卢文云等[6]指出赛事风险评估要建立在风险识别的基础上, 定性或定量分析可能遇到的每种风险, 评价风险的特性, 包括可能性、严重性和可控性, 根据影响程度由大到小分级排序。对风险进行排序。找出最重要的在分配资源时要优先考虑的风险。

管惠文[7]指出构建我国大型体育赛事风险评估体系需要坚持科学性、整体性和可测性原则。评估体系应能反映大型体育赛事风险管理的特点和基本规律, 体系能完整地、全面地反映和度量被评估对象, 可以直接量化的指标, 采用定性指标并有明确定义, 间接量化, 力求其价值判断的有效性和可靠性。构建了系统性的大型体育赛事风险评估指标体系, 分为四大体系: (1) 组织风险评估指标, 包括场馆建设风险、日程安排风险、交通风险、场地器材风险、信息技术风险; (2) 人员风险评估指标, 包括:运动员受到伤害的风险、赛事相关人员责任风险、运动员的兴奋剂风险; (3) 商业风险评估指标, 包括:预算风险、支出风险、直接经济效益风险、间接经济效益风险; (4) 环境风险指标, 包括:自然灾害风险、政治风险、卫生安全风险、媒体传播风险。并对指标权重的确定采用和积法计算, 排序, 进行一致性检验, 计算层次总排序。

翁建锋等[8]构建了大型体育赛事安全风险评估模型, 包括7个步骤:建立环境、获得资产特征、威胁评估、关键资产的脆弱性分析、灾难性后果评价、整体风险评估、减少风险措施的建议。并提出应对的8项策略:迅速成立赛事安保领导小组, 制定健全的安全风险管理体系, 构建应急反应程序, 建立高效、稳定的自动化指挥系统, 充分发挥军队的特殊使命, 大力发挥人民群众的作用, 充分应用高科技技术, 加强国际间的安全保卫合作。

霍德利[9]采用定性和定量相结合的方法对体育赛事风险评估指标体系进行了研究。其体育赛事风险清单包含:气候条件、地理环境、自然灾害、赛事参与方素质、组织方式、管理制度、赛事信息、管理措施、管理机制、政治因素、经济因素、人文因素。其中气候条件、地理环境、自然灾害为自然环境风险因子;赛事参与方、组织方式、管理制度、赛事信息、管理措施和管理机制为赛事管理风险因子;政治因素、经济因素和人文因素为社会环境风险因子。

董杰[3]根据风险损失作用对象的不同, 将体育赛事面临的主要风险分为财产风险、人身风险、责任风险、赛事取消风险和财务风险。以损失概率与损失幅度评估风险大小。

温阳[10]建立了大型体育赛事场馆运行的风险评估体系, 含3个一级指标, 包括:赛前筹备阶段、赛时运行阶段和赛后恢复阶段风险;9个二级指标, 包括:场馆运行计划、场馆人力筹备、场馆财力筹备、场馆物力筹备、场馆安全防范、场馆竞赛服务、场馆后勤保障、赛后人和物撤离和场馆赛后财务风险;27个三级指标, 包括:客户群服务计划制定、安保方案和应急预案制定、场馆运行任务和程序制定、场馆空间布局、人力资源规划、人员招聘和选拔、人员培训与演练、人员考评与激励、场馆团队建设、场馆运行财务预算、场馆运行财务控制、场馆临时设施建设、场馆永久性建筑设施管理、场馆物资供应、安全保卫、交通消防疏散、观众服务、医疗卫生服务、技术服务、包括餐饮、语言、票务和市场服务等在内的其它服务、场馆设施管理、场馆环境维护、场馆财物供应、场馆人员撤离、场馆建筑设施受损、场馆资产流失和场馆财务超支风险。构建了大型体育赛事场馆运行风险评估指标体系的层次结构模型, 并评估了指标体系的权重。依次为:赛时运行阶段风险 (0.4785) , 赛前筹备阶段风险 (0.3941) , 赛后恢复阶段风险 (0.1274) 。

3 实例研究

王晨曲[11]对广州地区举办大型体育赛事风险评估指标体系的研究, 其中包括了2个一级指标, 即赛前风险和赛时风险;9个二级指标, 即社会、经济、政治风险, 赛前组织风险, 财务风险, 经营风险, 责任风险, 比赛组织风险, 设施运作风险, 人员风险和灾害风险;42个三级指标, 即:恐怖袭击风险, 大范围的罢工风险, 抵制、罢赛风险, 外交纠纷风险, 宗教造成的风险, 大范围的流行病风险, 不可抗自然灾害风险, 经济危机风险;设备运输、安装、调试不及时风险, 训练场地、时间安排混乱风险, 采访人员的安排混乱风险, 交通路线安排混乱, 与公安、消防、海关等职能部门协调风险;违约、毁约风险, 预算超支风险, 资金不足风险, 通货膨胀风险, 利率、汇率变化风险, 政府增税风险, 市场预测失误风险;门票营销风险, 电视转播权风险, 特许标志使用权营销风险, 赞助权营销风险;合同、协议签订风险, 体育产品不合格或损坏风险, 法律诉讼风险, 应急计划不当及管理不善风险;场地、时间、程序安排风险, 人员指挥、调度风险, 设备故障风险;场馆设施器材遭受损毁风险, 各系统故障风险;体育暴力等侵害性人身攻击险;场馆设施器材遭受损毁风险, 各系统故障风险;体育暴力等侵害性人身攻击风险, 运动员人身意外伤害风险, 看台坍塌等造成的人员伤害风险, 人员缺席风险 (运动员、裁判员、工作人员等) , 工作人员渎职风险;恶劣天气风险, 恐怖袭击风险, 人为火灾风险, 人群骚乱风险, 犯罪分子破坏、盗窃、欺诈等风险。

刘岩峰[4]对2010中国网球公开赛实施阶段风险主要风险进行分析, 列出风险指标为: (1) 自然或意外因素风险, 包括: (1) 天气 (大风, 大雨) ; (2) It系统故障, 如停电, 电子显示器, 鹰眼等失效等。 (2) 竞赛中延误风险, 包括: (1) 赛事组织内部人员因素; (2) 赛程编排不合理; (3) 赛事部门主管决策失误; (4) 赛事直接参与人员因素, 如:运动员迟到、运动员缺席、运动员中途停赛、裁判员迟到、裁判员赛前缺席、裁判员比赛中途退出单场比赛超时; (5) 赛事间接参与人员因素, 如:赛事的赞助商因素, 赛事赞助商由于某种原因停止合作;赛事的志愿者因素;赛事的安保人员因素赛场内的安保人员失职, 造成观众席秩序混乱;观众人为因素, 观众出入赛场观众的中途入出赛场造成比赛中断, 赛场的暴力, 观众之间发生暴力事件, 致使比赛中断。 (3) 人员伤亡风险, 包括: (1) 竞赛直接参与人员人身风:裁判员、运动员人身风险; (2) 竞赛间接参与人员人身风险:赞助商、志愿者、安保人员人身风险; (3) 观众人身风险。 (4) 财务风险, 包括:赞助商因素如突然撤资, 其他因素费用风险, 在实施阶段前资金不到位。根据严重度、可能性、不可探度对风险评估排序, 前五位依次为:天气风险、单场比赛超时风险、观众观赛不文明、运动员人身风险、观众意外人身风险。

摘要：对大型体育赛事的概念、组织、风险的定义进行概述, 综述大型体育赛事风险评估指标的研究现状, 并列举了实例。

关键词：大型体育赛事,风险,评估,指标

参考文献

[1]邢尊明.我国大型体育赛事优化管理理论与实证研究.福建师范大学.博士论文, 2008.

[2]徐昱玫.大型体育赛事的竞赛组织探究.上海交通大学.硕士论文, 2007.

[3]董杰, 刘新利.体育赛事的风险管理研究[J].武汉体育学院学报, 2007 (5) .

[4]刘岩峰.2010中国网球公开赛实施阶段风险管理研究.首都体育学院.硕士论文, 2011.

[5]李国胜, 张文鹏.关于体育赛事风险管理要素的研究[J].广州体育学院学报, 2005 (2) .

[6]卢文云, 熊晓正.大型体育赛事的风险及风险管理[J].成都体育学院学报, 2005 (5) .

[7]管惠文.我国大型体育赛事风险评估体系构建研究[J].群文天地, 2012 (6) .

[8]翁建锋, 高慧林, 关多红.大型体育赛事安全风险评估及应对策略[J], 首都体育学院学报, 2010 (5) .

[9]霍德利.体育赛事风险评估指标体系的构建[J].统计与决策, 2011 (23) .