企业信息化安全管理.docx

《企业信息化安全管理.docx》由会员分享，可在线阅读，更多相关《企业信息化安全管理.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业信息化平安管理企业利用先进的信息技术，通过信息资源的深入开发和 广泛利用，不断提高生产、经营、管理、决策的效率和水平， 进而提高企业经济效益和企业竞争力的过程，称之为企业信 息化。近年来，随着计算机网络技术的飞速开展，企业信息 化系统逐步向网络化转变，提高了数据信息的共享范围和传 输距离。在企业享受网络带来的方便的同时，网络尤其是 Internet所带来得平安威胁时时影响着信息化系统的稳定 性、保密性。这就需要我们不断加强平安技术防范，保证信 息化系统的平安。1 .信息化系统的组成信息化系统是基于软科学的理论和计算技术、网络技术 和数据通信技术的普遍应用而开展起来的。进入九十年代中 期后，

2、国内经济的飞速开展引发市场竞争的逐渐激烈，使得 企业对信息采集、共享、利用传播更加重视，信息化系统成 为增强企业核心竞争力的重要因素。信息化系统主要由ERP系统、办公自动化系统、网上监 管系统组成，相应产生了数据库平安、网络平安、远程访问 平安、邮件平安以及病毒防护的平安问题。2 .网络平安网络平安是保护网络及其服务不受未经授权的修改、破 坏或泄漏。企业网络平安的核心是企业信息的平安。为防止 非法用户利用网络系统的平安缺陷开展数据的窃取、伪造和 破坏，需要建立企业网络信息系统的平安服务体系防患于未虚拟局域网(VLAN)技术。VLAN (Virtual Local Area Network)虚拟

3、局域网，是对连接到的第二层交换机端口的 网络用户的逻辑分段，不受网络用户的物理位置限制根据用 户需求开展网络分段。每个用户主机都连接在一个支持VLAN的交换机端口上 并属于一个VLAN。不同VLAN之间广播信息是相互隔离的， 将整个网络分割成多个不同的广播域(VLAN)。VLAN可以根 据网络用户的位置、作用、部门或者根据网络用户所使用的 应用程序和协议来开展分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下 能在第三层的路由器上实现。降，浪费可贵的带宽;而且对广播风暴的控制和网络平安只

4、防火墙。防火墙(Firewall)是指设计用来防止来自网 络体系构造的一个不同局部，或对网络体系构造的一个不同 局部没有得到授权访问的系统。防火墙可以通过软件或硬件 来实现，也可以是两者的结合。使用防火墙可以起到信息包 过滤、转发功能，有效阻止网络的非法连接方式。防火墙技 术分为数据包过滤、应用程序网关、电路级网关、代理服务 器。实际应用中许多防火墙同时使用其中几种防火墙技术。防火墙的优势在于其基于规那么的过滤流量能力，这些规 那么称为规那么集。其弱点是不完整的规那么集容易给入侵者留下 缺口。入侵检测。入侵检测(Intrusion Detection, ID)是 指监控并分析计算机系统或者网络

5、上发生的事件，以寻找入 侵迹象的过程。所谓入侵检测可以被定义为一系列试图损害 某种资源的完整性、机密性、可用性的企图。入侵检测系统 (IDS)是对入侵自动开展监控和分析的软件或硬件产品。 主要起到流量审核作用，可以对透过防火墙的入侵、应用系 统漏洞及后门、防火墙配置失误、内部网的入侵起到防范作 用。IDS主要功能：入侵报警，内容恢复，分析攻击行为， 分析取证。虚拟专用网技术(VPN)o VPN (Virtual Prilvate Network) 虚拟专用网是经过相互授权的通信双方在公共网络如因特 网运用各种加密协议传输数据的专用隧道，用以保证数据的 保密性、完整性及通信双方的相互授权。使用V

6、PN开展远程 访问可以使企业在低本钱的公用通信网络(internet)中平安地开展数据交换，以低本钱平安的连接 流动业务人员及业务伙伴。出差漫游的远程访问人员可 通过拨号方式拔入当地的ISP,利用VPN客户端软件与企业 的VPN网关型建立加密隧道技术，将企业网的数据封装在隧 道中开展传输。由于VPN把机密的数据和网络资源与不友好的网络分隔 开来，因此它在任何地方都必须像防火墙一样强健。强大的 认证、密码、X. 509v3数字证书和ICS认证的防火墙功能确 保VPN能够保护数据的机密性。a.服务水平协议(SLA)。是端到端VPN的一种关键功能，SLA提供了具体的性能标准，确保VPN能够支持可靠的

7、商业 服务。同时，为网络性能规划和应用提供了珍贵的数据。b.服务质量（QoS）功能。服务质量对企业要求的优先通 信和管理接入VPN至关重要。防病毒软件。计算机病毒是一种人为制造的程序，通过 非授权入侵和自我复制能力，隐藏在可执行程序和数据文件 中，破环计算机系统和数据平安，需要全方位的病毒查杀软 件去除病毒程序。3 .验证技术通过验证技术可以保证数据在发送和传输 过程中的平安。使用基本的询问/应答协议来要求用户输入 名称和口令来证实自己身份只能称之为基本验证。基本验证 只允许相关联的用户标识符及口令的人或机构访问受保护 的数据区。保护区中包含有如CGI（公共网关接口； Common Gatew

8、ay Interface）程序、HTML （超文本标注语言 HYPER TEXT MARKUP LANGUAGE）页面等服务对象。但是如果仅使用基本口 令验证，用户并不能严密地保护服务器的数据访问，用户标 识符和口令在浏览器中被缓存，容易被捕获，或者被他人盗 取ID去访问本来受限制的信息。随着互联网的开展，任何 网络发送都可能受到跟踪，HTTP基本校验并不能作为唯一对 任何受限制的资源的保护方法，需要用一个加密连接来开展 通信。如SSL （Secure Sockets Layer）在基本验证根底上加 密HTTP数据的协议。X. 509o X. 509是由国际电信联盟（ITU-T）制定的数字 证

9、书标准。在X. 500确保用户名称惟一性的根底上，X. 509 为X. 500用户名称提供了通信实体的鉴别机制，以及实体鉴 别过程中广泛适用的证书语法和数据接口。X.509证书由用户公共密钥和用户标识符组成，包括版 本号、证书序列号、CA标识符、签名算法标识、签发者名称、 证书有效期等信息。目前以X.509标准定义的公钥证书格式 被广泛应用并在Internet中被许多协议支持。X. 509标准没 有指定特定的加密算法，但RSA（非对称密钥密码算法）算法 是使用得最多的一种。X. 509证书已用于许多网络平安应用程序，其中包括IP 平安（IPSec）、平安套节层（SSL）及平安多用途Intern

10、et 邮件扩展（S/MIME）等。X. 509标准及公共密钥加密系统为 开展身份认证提供了一个称作数字签名的方案。用户可以生 成一段信息，然后用私有密钥对其加密以形成签名，接收者 用发送者的公共密钥对签名解密，并将之与收到的信息比拟, 以确认其真实性。3.2平安套接子层（SSL）平安套接字协议层（Secure Sockets Layer）是一种应用 于传输层平安保护的协议，用于在客户机和服务器之间构建 平安的通信通道。SSL提供了使用X. 509数字证明的验证及 大量的加密技术，例如：公钥和对称密钥加密，数字签名及 公钥验证。4.数据库平安数据库作为ERP系统关系型数据格式存储 的数据信息，是

11、ERP使用的关键要素。数据库系统是否平安 直接影响到ERP系统的使用。保证数据信息的平安要做好数 据备份，防止物理介质损坏或者认为操作造成得数据丧失， 以便开展灾难恢复；身份鉴别，用数据字典纪录用户权限， 从软硬件方面保障数据库的平安。信息化系统的平安不只要依靠先进的计算机平安技术 来防止信息的入侵和破环，规范的管理制度和提高自身的安 全意识，特别是相关管理制度的健全是推动企业信息化平安 开展的保障。随着计算机技术的不断开展，攻击和入侵手段 也在不断提高，本文所介绍的几种防护手段和验证技术只是 信息化系统实现平安的一个步骤，只有保证了系统的平安, 信息化系统才能发挥其真正的作用，实现企业信息的平安共 享和有效利用。