爱华网企业利用先进的信息技术,通过信息资源的深入开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和企业竞争力的过程,称之为企业信息化。近年来,随着计算机网络技术的飞速发展,企业信息化系统逐步向网络化转变,提高了数据信息的共享范围和传输距离。在企业享受网络带来的方便的同时,网络尤其是Internet所带来得安全威胁时时影响着信息化系统的稳定性、保密性。这就需要我们不断加强安全技术防范,保证信息化系统的安全。
1.信息化系统的组成 信息化系统是基于软科学的理论和计算技术、网络技术和数据通信技术的普遍应用而发展起来的。进入九十年代中期后,国内经济的飞速发展引发市场竞争的逐渐激烈,使得企业对信息采集、共享、利用传播更加重视,信息化系统成为增强企业核心竞争力的重要因素。 信息化系统主要由ERP系统、办公自动化系统、网上监管系统组成,相应产生了数据库安全、网络安全、远程访问安全、邮件安全以及病毒防护的安全问题。 2.网络安全 网络安全是保护网络及其服务不受未经授权的修改、破坏或泄漏[1]。企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏,需要建立企业网络信息系统的安全服务体系防患于未然。 虚拟局域网(VLAN)技术。VLAN(Virtual Local Area Network)虚拟局域网,是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制根据用户需求进行网络分段。 每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。不同VLAN之间广播信息是相互隔离的,将整个网络分割成多个不同的广播域(VLAN)。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。 基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 防火墙。防火墙(Firewall)是指设计用来防止来自网络体系结构的一个不同部分,或对网络体系结构的一个不同部分没有得到授权访问的系统。防火墙可以通过软件或硬件来实现,也可以是两者的结合。使用防火墙可以起到信息包过滤、转发功能,有效阻止网络的非法连接方式。防火墙技术分为数据包过滤、应用程序网关、电路级网关、代理服务器。实际应用中许多防火墙同时使用其中几种防火墙技术。 防火墙的优势在于其基于规则的过滤流量能力,这些规则称为规则集。其弱点是不完整的规则集容易给入侵者留下缺口。[2]
入侵检测。入侵检测(Intrusion Detection,ID)是指监控并分析计算机系统或者网络上发生的事件,以寻找入侵迹象的过程。所谓入侵检测可以被定义为一系列试图损害某种资源的完整性、机密性、可用性的企图。入侵检测系统(IDS)是对入侵自动进行监控和分析的软件或硬件产品。主要起到流量审核作用,可以对透过防火墙的入侵、应用系统漏洞及后门、防火墙配置失误、内部网的入侵起到防范作用。 IDS主要功能:入侵报警,内容恢复,分析攻击行为,分析取证。 虚拟专用网技术(VPN)。VPN(Virtual Prilvate Network)虚拟专用网是经过相互授权的通信双方在公共网络如因特网运用各种加密协议传输数据的专用隧道,用以保证数据的保密性、完整性及通信双方的相互授权。 使用VPN进行远程访问可以使企业在低成本的公用通信网络(int ernet)中安全地进行数据交换,以低成本安全的连接流动业务人员及业务合作伙伴。出差漫游的远程访问人员可通过拨号方式拔入当地的ISP,利用VPN客户端软件与企业的VPN网关型建立加密隧道技术,将企业网的数据封装在隧道中进行传输。 由于VPN把机密的数据和网络资源与不友好的网络分隔开来,因此它在任何地方都必须像防火墙一样强健。强大的认证、密码、X.509v3数字证书和ICS认证的防火墙功能确保VPN能够保护数据的机密性。 a.服务水平协议(SLA)。是端到端VPN的一种关键功能,SLA提供了具体的性能标准,确保VPN能够支持可靠的商业服务。同时,为网络性能规划和应用提供了宝贵的数据。 b.服务质量(QoS)功能。服务质量对企业要求的优先通信和管理接入VPN至关重要。 防病毒软件。计算机病毒是一种人为制造的程序,通过非授权入侵和自我复制能力,隐藏在可执行程序和数据文件中,破环计算机系统和数据安全,需要全方位的病毒查杀软件清除病毒程序。 3.验证技术 通过验证技术可以保证数据在发送和传输过程中的安全。 使用基本的询问/应答协议来要求用户输入名称和口令来证实自己身份只能称之为基本验证。基本验证只允许相关联的用户标识符及口令的人或机构访问受保护的数据区。保护区中包含有如CGI(公共网关接口;Common Gateway Interface)程序、HTML(超文本标注语言HYPER TEXT MARKUP LANGUAGE)页面等服务对象。但是如果仅使用基本口令验证,用户并不能严密地保护服务器的数据访问,用户标识符和口令在浏览器中被缓存,容易被捕获,或者被他人盗取ID去访问本来受限制的信息。随着互联网的发展,任何网络发送都可能受到跟踪,HTTP基本校验并不能作为唯一对任何受限制的资源的保护方法,需要用一个加密连接来进行通信。如SSL(Secure Sockets Layer)在基本验证基础上加密HTTP数据的协议。 X.509。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。在X.500确保用户名称惟一性的基础上,X.509为X.500用户名称提供了通信实体的鉴别机制,以及实体鉴别过程中广泛适用的证书语法和数据接口。 X.509证书由用户公共密钥和用户标识符组成,包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等信息。目前以X.509标准定义的公钥证书格式被广泛应用并在Internet中被许多协议支持。X.509标准没有指定特定的加密算法,但RSA(非对称密钥密码算法)算法是使用得最多的一种。 X.509证书已用于许多网络安全应用程序,其中包括IP安全(IPSec)、安全套节层(SSL)及安全多用途Internet邮件扩展(S/MIME)等。X.509 标准及公共密钥加密系统为进行身份认证提供了一个称作数字签名的方案。用户可以生成一段信息,然后用私有密钥对其加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息比较,以确认其真实性。3.2 安全套接子层(SSL) 安全套接字协议层(Secure Sockets Layer)是一种应用于传输层安全保护的协议,用于在客户机和服务器之间构建安全的通信通道。SSL提供了使用X.509数字证明的验证及大量的加密技术,例如:公钥和对称密钥加密,数字签名及公钥验证。 4.数据库安全 数据库作为ERP系统关系型数据格式存储的数据信息,是ERP使用的关键要素。数据库系统是否安全直接影响到ERP系统的使用。保证数据信息的安全要做好数据备份,防止物理介质损坏或者认为操作造成得数据丢失,以便进行灾难恢复;身份鉴别,用数据字典纪录用户权限,从软硬件方面保障数据库的安全。 信息化系统的安全不只要依靠先进的计算机安全技术来防止信息的入侵和破环,规范的管理制度和提高自身的安全意识,特别是相关管理制度的健全是推动企业信息化安全发展的保障。 随着计算机技术的不断发展,攻击和入侵手段也在不断提高,本文所介绍的几种防护手段和验证技术只是信息化系统实现安全的一个步骤,只有保证了系统的安全,信息化系统才能发挥其真正的作用,实现企业信息的安全共享和有效利用。
