摘 要:随着我国改革开放的逐步推进与企业发展的加快,发展信息化的企业管理系统已成为企业提高核心竞争力与可持续发展能力的重要手段。本文在分析和探讨企业管理系统网络安全主要技术和相关原理的基础上,提出一个基于多项技术构建的多层次的企业管理系统网络安全解决方案。
关键词:安全技术;企业集团;企业管理系统;虚拟专用网技术
在当前企业管理系统建设大踏步向前迈进的过程中,随之而产生的问题也越来越亟待解决,企业管理系统的安全便是首要问题。比如计算机病毒的传播更是安全性的巨大威胁之一,病毒一旦发作,轻则破坏文件、损害系统,重则造成网络瘫痪。某某企业集团正是在此背景下对本企业的企业管理系统进行重新设计和实施的。
1 项目背景与目标
1.1 项目背景
某某集团是某某市重点民营高科技企业之一,该公司以工业产业为主,主业突出,年销售额近2亿元,年利润2000万元左右,上缴利税1300万元,企业目前在职人员1300余人。该公司以生产气雾剂为主,伴以各种小规格的相关器材的出口等。整个市场较为稳定,每年除30%—40%出口外,其他产品主要是在上海及周边地区销售,在南京、武汉、北京、上海、美国等地设有公司或分支机构。2008年度集团投资1000多万元,将内网的企业管理系统迁移到外网,并实现与集团属各下属企业进行业务在线交换。为实现此功能,首先要实现与各企业网络的互联互通并确保信息传输的安全保密性和完整性。
1.2 系统安全分析
该集团企业的网络管理系统中内网与外网完全物理隔离,其中内网自成体系,不与任何外部系统交互,相对安全,信息不容易泄漏,但同时该网也成了一个信息孤岛,与外部系统的数据交换很不方便。不过在现有的网络结构及应用模式下,外网网络安全几乎是不设防,可能存在的主要安全风险如下:(1)网络设备节点自身安全风险:网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。尤其是核心层的三层交换机,单点故障的风险比较大,万一出现故障整个网络将完全瘫痪。(2)网络层有效的访问控制的风险:网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之间的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。(3)网络攻击行为检测和防范的风险:由于TCP/IP协议的开放特性,带来了非常大的安全风险,常见的有IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击等;由于Internet的开放性,对企业管理系统的安全造成了威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。
2 系统安全解决方案
本方案主要是遵循事前防范、事中监控、事后审计的思想进行设计,同时结合其他传统的网络安全措施,提出一套新型的基于多项技术的安全企业管理网络系统解决方案。
2.1 访问控制
访问控制是最基本的安全措施之一,随着网络结构复杂程度的不断增加,应用系统的不断增多,人们已经逐渐认识到保护网上敏感资源的重要性,而旧的访问控制技术有着诸多的管理弊端,已经不能满足用户的要求,因此需要寻求一种有效的手段或方法。本系统采用大安全域隔离。首先把外网划分为内外安全域两大区域,即核心数据域与办公区域,中间用物理网闸隔离,使得核心数据域与办公区域物理隔离,办公区域中的客户端要访问核心数据域中的应用,数据内容必须经过严格过滤和摆渡交换,切实保护工作秘密的安全。
2.2 防火墙的部署
防火墙的主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁,只有允许的应用协议才能通过防火墙,所以网络环境变得更安全。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和公众网之间的任何活动,保证了内部网络的安全。因此通过在该集团办公区域访问互联网的边界部署一台防火墙,既起到逻辑隔离的作用又能有效控制办公区域和互联网之间的通讯安全。为了更有效地控制办公区域的用户端上网行为,本系统在防火墙前面部署了一台LINUX代理服务器,给防火墙前面多设置了一道天然的屏障,而且通过缓存机制间接地提高了访问互联网的速度。
2.3 入侵检测系统的部署
虽然通过防火墙可以隔离大部分的外部攻击,但是仍然会有小部分攻击通过正常的访问漏洞渗透到内部网络,据统计有70%以上的攻击事件来自内部网络,也就是说内部人员有意或无意的攻击,而这恰恰是防火墙的盲区。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等,及时地发现异常地网络流量或安全隐患,尽早采取措施、排查隐患,避免安全事故的进一步扩大。
总之,企业管理系统信息安全建设是一项复杂、庞大的工程,企业管理系统的安全是一项动态的、长期的、整体的系统工程,需要周密的设计和部署。在企业管理系统网络安全体系的构建中除了要有上述的各种技术手段,更需要严谨的管理手段。
参考文献:
[1] 威特曼.信息安全原理[M].第2版.北京:清华大学,2006:100
[2] 雪家信息安全工程技术研究中心.企业管理系统总体设计与技术实现[M].北京:清华大学出版社,2004:27
[3] 邓智群,刘福,慕德俊等.网络隔离体系结构研究[J].计算机应用研究,2005(5):220
[4] 李跃.基于SSL的VPN的研究与改进[J].信息安全与通信保密,2005(2):93
