企業(yè)信息化安全管理.docx

1、企業(yè)信息化平安管理企業(yè)利用先進的信息技術(shù)，通過信息資源的深入開發(fā)和 廣泛利用，不斷提高生產(chǎn)、經(jīng)營、管理、決策的效率和水平， 進而提高企業(yè)經(jīng)濟效益和企業(yè)競爭力的過程，稱之為企業(yè)信 息化。近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速開展，企業(yè)信息 化系統(tǒng)逐步向網(wǎng)絡(luò)化轉(zhuǎn)變，提高了數(shù)據(jù)信息的共享范圍和傳 輸距離。在企業(yè)享受網(wǎng)絡(luò)帶來的方便的同時，網(wǎng)絡(luò)尤其是 Internet所帶來得平安威脅時時影響著信息化系統(tǒng)的穩(wěn)定 性、保密性。這就需要我們不斷加強平安技術(shù)防范，保證信 息化系統(tǒng)的平安。.信息化系統(tǒng)的組成信息化系統(tǒng)是基于軟科學的理論和計算技術(shù)、網(wǎng)絡(luò)技術(shù) 和數(shù)據(jù)通信技術(shù)的普遍應(yīng)用而開展起來的。進入九十年代中 期后，國內(nèi)

2、經(jīng)濟的飛速開展引發(fā)市場競爭的逐漸激烈，使得 企業(yè)對信息采集、共享、利用傳播更加重視，信息化系統(tǒng)成 為增強企業(yè)核心競爭力的重要因素。信息化系統(tǒng)主要由ERP系統(tǒng)、辦公自動化系統(tǒng)、網(wǎng)上監(jiān) 管系統(tǒng)組成，相應(yīng)產(chǎn)生了數(shù)據(jù)庫平安、網(wǎng)絡(luò)平安、遠程訪問 平安、郵件平安以及病毒防護的平安問題。.網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安是保護網(wǎng)絡(luò)及其服務(wù)不受未經(jīng)授權(quán)的修改、破 壞或泄漏。企業(yè)網(wǎng)絡(luò)平安的核心是企業(yè)信息的平安。為防止 非法用戶利用網(wǎng)絡(luò)系統(tǒng)的平安缺陷開展數(shù)據(jù)的竊取、偽造和 破壞，需要建立企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的平安服務(wù)體系防患于未虛擬局域網(wǎng)(VLAN)技術(shù)。VLAN (Virtual Local Area Network)虛擬局域網(wǎng)，

3、是對連接到的第二層交換機端口的 網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制根據(jù)用 戶需求開展網(wǎng)絡(luò)分段。每個用戶主機都連接在一個支持VLAN的交換機端口上 并屬于一個VLAN。不同VLAN之間廣播信息是相互隔離的， 將整個網(wǎng)絡(luò)分割成多個不同的廣播域(VLAN)。VLAN可以根 據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的 應(yīng)用程序和協(xié)議來開展分組?；诮粨Q機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下 能在第三層的路由器上實現(xiàn)。降，浪費可貴的帶寬;而且對廣播風暴的控制和網(wǎng)絡(luò)平安只防火墻。

4、防火墻(Firewall)是指設(shè)計用來防止來自網(wǎng) 絡(luò)體系構(gòu)造的一個不同局部，或?qū)W(wǎng)絡(luò)體系構(gòu)造的一個不同 局部沒有得到授權(quán)訪問的系統(tǒng)。防火墻可以通過軟件或硬件 來實現(xiàn)，也可以是兩者的結(jié)合。使用防火墻可以起到信息包 過濾、轉(zhuǎn)發(fā)功能，有效阻止網(wǎng)絡(luò)的非法連接方式。防火墻技 術(shù)分為數(shù)據(jù)包過濾、應(yīng)用程序網(wǎng)關(guān)、電路級網(wǎng)關(guān)、代理服務(wù) 器。實際應(yīng)用中許多防火墻同時使用其中幾種防火墻技術(shù)。防火墻的優(yōu)勢在于其基于規(guī)那么的過濾流量能力，這些規(guī) 那么稱為規(guī)那么集。其弱點是不完整的規(guī)那么集容易給入侵者留下 缺口。入侵檢測。入侵檢測(Intrusion Detection, ID)是 指監(jiān)控并分析計算機系統(tǒng)或者網(wǎng)絡(luò)上發(fā)生的

5、事件，以尋找入 侵跡象的過程。所謂入侵檢測可以被定義為一系列試圖損害 某種資源的完整性、機密性、可用性的企圖。入侵檢測系統(tǒng) (IDS)是對入侵自動開展監(jiān)控和分析的軟件或硬件產(chǎn)品。 主要起到流量審核作用，可以對透過防火墻的入侵、應(yīng)用系 統(tǒng)漏洞及后門、防火墻配置失誤、內(nèi)部網(wǎng)的入侵起到防范作 用。IDS主要功能：入侵報警，內(nèi)容恢復(fù)，分析攻擊行為， 分析取證。虛擬專用網(wǎng)技術(shù)(VPN)o VPN (Virtual Prilvate Network) 虛擬專用網(wǎng)是經(jīng)過相互授權(quán)的通信雙方在公共網(wǎng)絡(luò)如因特 網(wǎng)運用各種加密協(xié)議傳輸數(shù)據(jù)的專用隧道，用以保證數(shù)據(jù)的 保密性、完整性及通信雙方的相互授權(quán)。使用VPN開展

6、遠程 訪問可以使企業(yè)在低本錢的公用通信網(wǎng)絡(luò)(internet)中平安地開展數(shù)據(jù)交換，以低本錢平安的連接 流動業(yè)務(wù)人員及業(yè)務(wù)伙伴。出差漫游的遠程訪問人員可 通過撥號方式拔入當?shù)氐腎SP,利用VPN客戶端軟件與企業(yè) 的VPN網(wǎng)關(guān)型建立加密隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧 道中開展傳輸。由于VPN把機密的數(shù)據(jù)和網(wǎng)絡(luò)資源與不友好的網(wǎng)絡(luò)分隔 開來，因此它在任何地方都必須像防火墻一樣強健。強大的 認證、密碼、X. 509v3數(shù)字證書和ICS認證的防火墻功能確 保VPN能夠保護數(shù)據(jù)的機密性。a.服務(wù)水平協(xié)議(SLA)。是端到端VPN的一種關(guān)鍵功能，SLA提供了具體的性能標準，確保VPN能夠支持可靠的商業(yè) 服

7、務(wù)。同時，為網(wǎng)絡(luò)性能規(guī)劃和應(yīng)用提供了珍貴的數(shù)據(jù)。b.服務(wù)質(zhì)量（QoS）功能。服務(wù)質(zhì)量對企業(yè)要求的優(yōu)先通 信和管理接入VPN至關(guān)重要。防病毒軟件。計算機病毒是一種人為制造的程序，通過 非授權(quán)入侵和自我復(fù)制能力，隱藏在可執(zhí)行程序和數(shù)據(jù)文件 中，破環(huán)計算機系統(tǒng)和數(shù)據(jù)平安，需要全方位的病毒查殺軟 件去除病毒程序。.驗證技術(shù)通過驗證技術(shù)可以保證數(shù)據(jù)在發(fā)送和傳輸 過程中的平安。使用基本的詢問/應(yīng)答協(xié)議來要求用戶輸入 名稱和口令來證實自己身份只能稱之為基本驗證?；掘炞C 只允許相關(guān)聯(lián)的用戶標識符及口令的人或機構(gòu)訪問受保護 的數(shù)據(jù)區(qū)。保護區(qū)中包含有如CGI（公共網(wǎng)關(guān)接口； Common Gateway Int

8、erface）程序、HTML （超文本標注語言 HYPER TEXT MARKUP LANGUAGE）頁面等服務(wù)對象。但是如果僅使用基本口 令驗證，用戶并不能嚴密地保護服務(wù)器的數(shù)據(jù)訪問，用戶標 識符和口令在瀏覽器中被緩存，容易被捕獲，或者被他人盜 取ID去訪問本來受限制的信息。隨著互聯(lián)網(wǎng)的開展，任何 網(wǎng)絡(luò)發(fā)送都可能受到跟蹤，HTTP基本校驗并不能作為唯一對 任何受限制的資源的保護方法，需要用一個加密連接來開展 通信。如SSL （Secure Sockets Layer）在基本驗證根底上加 密HTTP數(shù)據(jù)的協(xié)議。X. 509o X. 509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字 證書標準。在X

9、. 500確保用戶名稱惟一性的根底上，X. 509 為X. 500用戶名稱提供了通信實體的鑒別機制，以及實體鑒 別過程中廣泛適用的證書語法和數(shù)據(jù)接口。X.509證書由用戶公共密鑰和用戶標識符組成，包括版 本號、證書序列號、CA標識符、簽名算法標識、簽發(fā)者名稱、 證書有效期等信息。目前以X.509標準定義的公鑰證書格式 被廣泛應(yīng)用并在Internet中被許多協(xié)議支持。X. 509標準沒 有指定特定的加密算法，但RSA（非對稱密鑰密碼算法）算法 是使用得最多的一種。X. 509證書已用于許多網(wǎng)絡(luò)平安應(yīng)用程序，其中包括IP 平安（IPSec）、平安套節(jié)層（SSL）及平安多用途Internet 郵件擴

10、展（S/MIME）等。X. 509標準及公共密鑰加密系統(tǒng)為 開展身份認證提供了一個稱作數(shù)字簽名的方案。用戶可以生 成一段信息，然后用私有密鑰對其加密以形成簽名，接收者 用發(fā)送者的公共密鑰對簽名解密，并將之與收到的信息比擬, 以確認其真實性。3.2平安套接子層（SSL）平安套接字協(xié)議層（Secure Sockets Layer）是一種應(yīng)用 于傳輸層平安保護的協(xié)議，用于在客戶機和服務(wù)器之間構(gòu)建 平安的通信通道。SSL提供了使用X. 509數(shù)字證明的驗證及 大量的加密技術(shù)，例如：公鑰和對稱密鑰加密，數(shù)字簽名及 公鑰驗證。4.數(shù)據(jù)庫平安數(shù)據(jù)庫作為ERP系統(tǒng)關(guān)系型數(shù)據(jù)格式存儲 的數(shù)據(jù)信息，是ERP使用的關(guān)鍵要素。數(shù)據(jù)庫系統(tǒng)是否平安 直接影響到ERP系統(tǒng)的使用。保證數(shù)據(jù)信息的平安要做好數(shù) 據(jù)備份，防止物理介質(zhì)損壞或者認為操作造成得數(shù)據(jù)喪失， 以便開展災(zāi)難恢復(fù)；身份鑒別，用數(shù)據(jù)字典紀錄用戶權(quán)限， 從軟硬件方面保障數(shù)據(jù)庫的平安。信息化系統(tǒng)的平安不只要依靠先進的計算機平安技術(shù) 來防止信