企业信息化建设中的网络安全问题探讨

企业信息化建设中的网络安全问题探讨内容摘要：

企业信息化建设中的网络安全问题探讨 - 1 - 毕业论文题目：企业信息化建设中网络安全问题研究学院：成都理工学院班级：经济信息管理姓名：陈云霞指导教师：陶俊辉 职称：教授 完成日期： 2014 年 1 月 10 日 - 2 - 企业信息化建设中网络安全问题研究摘 要企业信息化包括销售、生产、服务等方面内容，而实质是企业管理的信息化，是企业将融合世界先进管理思想的信息技术进一步应用于管理，提高企业管理的效率和效益。 随着社会的发展和进步，超来越多的企业都纷纷依靠 术构建企业自身的信息系统和业务运营平台。 极大地提升了企业的核心竞争力。 网络安全是企业网络正常运行的前提。 网络安全不单是单点的安全，而是整个企业信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。 要知道如何防护，首先需要了解安全风险来自于何处。 网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。 无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络的中断。 本案针对国内大多数企业网络系统的网络结构和应用情况，从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析，并提出相应的解决方案。 关键词企业信息化，用，施网络安全应用，负载与网络安全的关系 - 3 - 目 录第一章 引言（04）第二章 企业人员管理安全策略（04）员管理带来的安全问题（05）工素质涉及信息安全（05）立事故处理预案（05）第三章 企业网络的接入安全策略（05）术应用策略（05）用 工作流程（06）业网络现状以及 求分析（07）业 设网络拓朴图及实施（08）案设计与实施（08）案实施的效果（09）第四章 软硬件配套的综合安全策 - 4 - 略（10）第五章 结束语（11）参考文献（12） - 5 - 第一章 引言伴随着中国的互联网的高速发展，由传统局域网络软件逐步向互联网转移，实现越来越多的软件和应用都将平台扩展到外网（互联网） ，以此充分实现了电脑、手机、平板等终端产品接入使用，尤其是近年来企业热衷于上马各类公系统） 、统、进销存系统等软件产品都由原来的局域网基于 C/，企业信息化的发展实现了又一个华丽转身；它不单单是解决了区域限制、跨平台的优势，而且在今后扩展打造云服务（供了基础节省了成本，而且还对企业管理中具有快捷、方便等优势。 但随之而来的安全问题也在困扰着我们的企业高管们，在 2002 年后，木马、病毒的传播使企业在互联网上的信息安全状况进一步恶化，尤其是对公司涉密数据（如财务，客户资料等） ，如开放并纳入互联网后，这都将加剧企业管理员对信息安全的担扰，所以我们对企业信息化在互联网上的安全性提出了更高的要求。 第二章 员管理带来的安全问题有相当一部份中小企业在推行企业信息化系统相关软件和应用时往往不愿意为“流程”或“规则”投入过多，他们认为内部繁锁和流程和操作规划只会增加员工的额外负担，使得工作效率降低。 但是，权限控制是完善职责分离制度的基础控制手段，主要目标是防范内部人员的舞弊行为带给企业的灾难，中小企业的高层领导必须更新观念，亲自参与信息安全管理工作。 在职能部门中也要在企业组织架构设置的基础之上贯彻职责分离原则，负责采购、销售、库存、记录及维护固定资产等职能的人员只应对这些职能中的某一具体业务环节负责，他们对其指定任务以外的职能不应享有系统使用权。 对于复杂的业务，可以细化到某个字段、某个表格的管理权、查询权、删除和插入等权限，从而构造一张完整的职责分离网络，从多个纬度杜绝错误、失常乃至欺诈行为的发生，彻底消除以往仅依靠其自身的职业操守和道德准绳进行自我约束的状况。 - 6 - 工素质涉及信息安全近几年，由于经济的高速发展，业务不断的更新和变化，同时新用户进入企业信息化系统中来，老用户由于岗位变动，更换了不同性质的工作，要求进行企业信息化系统知识的培训和再培训。 在提高用户的业务能力和素质同时，加强了对用户的考核与淘汰。 通过对最终用户的考核与淘汰制度，强化了用户的学习意识和工作责任，减少了数据录入错误，保证了企业信息化系统的平稳运行。 立事故处理预案安全事故预案是应对安全事故及故障的指导原则，目的是帮助企业迅速地对事故及故障做出反应，将事故及故障造成的损害降到最小，并通过对已发事件进行分析来监督此类事件，达到进一步防范风险的作用。 建立安全事故处理预案是长期、低成本实现企业信息化系统安全运作的重要手段，制度中应该明确事件的不同类型，如安全漏洞、安全威胁、弱点或故障等，以及它们的报告程序，以使业务人员在发现事件时可以及时汇报和迅速做出处理。 在对事故做出适当的处理后，应迅速收集相关证据，以合适的机制进行量化，评价事故与故障的种类、数量和成本，以利于后续的监督和防范工作。 此外，还应当建立和事件相对应的处罚措施，对引起系统安全漏洞的员工加以适当的警示，有利于降低业务人员出错带来的安全隐患。 第三章 术应用策略虚拟专用网(指在公用网络上建立专用网络的技术。 之所以称为虚拟网，主要是因为整个 络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台(如 中继等)上的逻辑网络，用户数据在逻辑链路中传输。 通常，对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输;可用于不断增长的移动用户的全球互联网接 - 7 - 入，以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路。 得企业在实施信息化系统中仍然将 A、财务等软件应用布署在企业局域网内部，通过 关设备与互联网互通访问；通过相应的认证机的机制和控制手段，使公司内部员工通过互联网实现 入企业内部局域网，该终端设备被虚拟化成企业内部局域网中的一台终端。 由此即实现了通过互联网、3G 等手机快捷轻松的操作企业内部应用系统，又实现了内网与外网的逻辑隔离，最大化保证了信息安全。 企业的信息化系统本身就是一个系统地概念，它是一个建立在信息技术基础上、以管理会计为核心的信息系统。 它集信息技术与先进的管理思想于一身，它可以将企业内部所有资源整合在一起，对采购、生产、成本、库存、分销、运输、财务、人力资源等进行规划和合理调配，力求达到企业资源的最佳组合，从而最大化地创造社会财富。 它是一个为企业决策层及员工提供决策运行手段的管理平台，可以说它是企业在信息时代生存、发展的基石。 中小型企业的信息化管理系统一般采用 B/S(客户机/服务器)体系结构，架构于企业内网。 然而，随着企业的不断发展，许多中小型企业在总部以外的工业园区、经济技术开发区等地又设立了分公司;此外，为了扩大业务量，还在外地设立了办事处。 如何将这些分公司、驻外办事处等的运营信息及时地传至企业总部，以便企业决策层及员工能据此做出正确的决策。 此外，由于系统中的大量数据都涉及到企业商业机密，这些数据在网络传输过程中一旦被人截取，可能会给企业带来巨大的经济损失。 如何保证数据安全、可靠地传输?这些都涉及到企业如何联网的问题。 安全、可靠、高效的网络平台是 功运行的有力保障。 术是一种安全、高效的网络技术，它融合了多方面的先进技术，其中最具代表性和起到核心作用的技术主要包括隧道技术、加解密技术、密钥管理技术、身份认证技术和访问控制技术，多种技术的紧密结合保证了构建于公共网络上的虚拟内部网络的有效连通性和安全性。 用 机发送信息到连接骨干网络的 备，备根据网管设置 - 8 - 的规则，确定是否需要对数据进行加密或让数据直接通过，对需要加密的数据，备对整个数据包进行加密并附上数字签名。 备加上新的数据报头，其中包括目的地 备需要的安全信息和一些初始化参数。 备对加密后的数据、验证包以及源 址、目标 备址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输，当数据包到达目标 备时，解封装数据包，核对数字签名，数字签名被核对无误后，再解密数据包。 由此可见，借助 术联网具有安全、高效、可靠等优越性。 业网络现状以及 求分析在本应用的企业模型中，该企业的组织机构为：一个企业总部，企业总部内设六个独立核算的分公司;在工业园区设有一家分公司;在外地设有两个驻外办事处。 该企业目前的网络状况为：企业总部组建了单独的局域网，并采用光纤接入互联网，企业总部内建设有 式的 统工业园区的分公司组建了它单独的局域网，通过 式接入互联网，未上 统，两个办事处也采用 式接入互联网，同样未上 统。 换句话说，目前，公司 统仅限于企业总部局域网内，其他机构、出差人员都不能访问企业本部的 统。 然而，企业总部需要及时了解分公司、驻外办事处的运营信息，出差在外的企业决策人员、销售人员也需在出差地及时了解企业的运营信息，以便为后续决策提供依据。 要满足此要求，首先需将企业的所有机构借助于 网，然后在企业总部以外其他机构的主机上安装 户端软件，每天通过网络及时地将户端录入的企业运营数据传输至位于企业总部的 务器上。 由于 此，必须确保这些机密信息在网络中安全传输。 然而，由于目前 开放性以及 P 协议的脆弱性无法保证企业 统中的数据在传输过程中的安全性。 换句话说，仅仅依靠电信提供的 拟拨号、字专线等组网模式是不能适应此企业对信息传输平台的要求的，因为这峰传输平台没有经过加密处理，重要的 据均 - 9 - 是以明文在网上传输的，如果别有用心的人篡改、窃取甚至破坏企业 据，将给企业造成不可估量的损失。 基于企业的上述需求并考虑到 术的特点，拟采用“基于 术、通过 网”的方式来组建此企业的“私有”网络。 目前，有两种主流的 术。 第一种是基于网络层的 二种是基于应用层的 于该企业所选用的 统基于 C/S 体系结构，而非 B/S 体系结构，所以，选用 术实现该企业的组网目标。 此次络方案实施将在保留原有网络环境的情况下，提供以下一些具体的设置以满足该企业的需求。 业 案设计与实施（1） 、企业总部接入方案设计该企业本部部署一台天融信 000(件网关，连接电信接入互联网，为其工业园区分公司、驻外办事处及移动用户提供 入功能。 它整合了包括双 之负载平衡和自动线路备份、防火墙，能建立办公网络环境，使分公司通过远程拨号及远程连接访问总公司并能使用户的网络安全地连接到 必担心入侵者攻击。 支持并发 30 条 道，可支持 250 台电脑同时上网需求。 （2） 、企业的工业园区分公司接入方案设计由于其分公司需要与该企业总部进行大量的信息交换，尤其是企业信息化系统中物流、资金流在网上的频繁传输。 为了保证企业总部与分公司之间进行安全的信息传输，在分公司局域网与互联网接口处，部署天融信 000(全网关，直接与 供的接入设备相连。 天融信 000(关完成接入互联网、代理内部主机访问互联网信息及为内部主机提供功能完善的防火墙保护等功能的同时，向本部天融信 000(全网关建立 全隧道，实现跨地域网络互联互通，完成分公司信息化资源信息向企业本部信息化核心服务器的传送以及其他信息安全共享。 （3） 、有局域网的驻外办事处接入方案设计 - 10 - 如果驻外办事处有多台主机，且巳构成局域网，可部署天融信 000(全网关，直接与 供的接入设备相连。 其他工作过程同上述(2)。 （4） 、只有单台主机的办事处以及移动用户的远程安全接入方案设计如果驻外办事处只有单台主机，可通过在其主机上安装天融信 000(户端软件，客户端软件启动后以 号方式向企业本部 证通过后建立相应的 道。 在外出差的移动用户可以通过安装在笔计本上的天融信 000(户端软件，随时通过当地的 入 用 户端软件与远端的安全网关建立加密隧道，安全接入公司总部和分公司，在任何地方使用公司内部的企业信息化的所有应用系统。 该企业 设完成后的拓扑结构如图 1 所示。 案实施的效果(1)、跨地域网络瓦联，构建“私有的”网络基础平台 现了跨地域网络互联，将远程的工业园区公司、驻外办事处以及移动用户全部连接到企业总部局域网中，远程用户可以安全，便捷地访问公司内网中的 统。 - 11 - (2)、保障网络及信息安全，用国际标准的数字证书确认远端接入用户的合法身份，远程用户经过严格的身份认证之后连入局域网中，务器和 户端之间通过隧道封装、加密、动态密钥管理等机制，杜绝了数据在互联网传输过程中的各种安全隐患，远程用户所有的 据均通过高位加密的 道以密文形式传输到企业总部的 务器中，在 道中传翰的数据对 的用户来讲是完全不可见的，不用担心数据泄露问题。 隧道内高强度认证和加密算法确保了企业总部 务器及数据在传输过程中的高度安全。 (3)、满足移动办公需求，实现随时随地移动办公网可以满足远程和移动用户的办公需求，远程及移动用户只要能够接入互联网，就可以利用 户端软件直接与中心网关建立安全加密隧道，通过加密隧道随时随地访问 务器，大大提高了员工的工作效率。 同时，通过 统访问权限设置，实现对不同角色的用户分配不同的访问权限，杜绝非授权用户非法访问敏感信息。 移动用户一旦启动客户端软件并正确建立 道后，就可以根据中心网关为其分配的权限，访问相应的内部网络资源，且只能访问权限明确允许的资源，进一步确保网络及信息安全。 (4)、灵活接入、轻松扩展的专网应用平台，企业 网具备灵活的扩展性。 当需要增加新的网络节点时，只需再部署相应的 备或安装相应的客户端软件即可。 该企业的 网构建基于 准，在网络模型的第三层(网络层)实现对数据包的封装和加密，而对于上层的应用完全透明，这样使得此 网平台具有良好的可扩展性。 通过对企业 网的成功构建，确保企业本部与其分支机构之间实时的业务联系，确保企业核心业务数据在互联网上传输的安全性，保障企业信息安全和应用的扩展性，推动企业网络应用的发展，为企业未来的发展奠定了坚实的基础。 第四章 软硬件配套的综合安全策略企业设施的优化配备和合理使用。 对于中小企业来说，为了保障 统安全实施，通常要依赖于网络外围的防御，利用诸如防火墙、及入侵 - 12 - 防范等措施来抵御外界对其 统的入侵。 对于非授权的访问，尤其是有意图、有目的的攻击行为要通过运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的入侵，架设防火墙和杀毒软件等技术措施防范来自网络的黑客攻击和病毒攻击，并且限制来路不明的软件在系统主机上安装，最大程度地控制了网络攻击和恶意软件带来的风险。 对于服务器和工作站的配备要综合企业发展、现金流量、业务类型等因素综合考虑，既能满足企业现有的运作要求又能够兼顾企业未来在较长时间内的持续发展，实现性价比最优。 另外，企业信息系统设备的安全是系统运行的基础，因此如何保证设备的安全是信息系统风险防范的基础。 诸如服务器、网络设备、存储设备、工作站等必备资源设立专门的中心机房和操作室，设立必备的监控系统以应对突发的各种安全隐患如自然灾害和偷盗风险等。 网络安全。 油田企业像一个“没有围墙”的工厂，单位分散、点多面广、地域偏僻。 保障网络的安全、稳定、及时，是实施 统必须考虑的关键因素。 为此，在保证局域网正常畅通的前提下，需要限定 统上线人数上限，限制出口用户的数量，要求上线用户只能在内部运行，对外出口设置防火墙，外部用户经过授权，通过口令与密码才能访问系统。 同时，对业务流量进行实时监控。 操作安全、数据库的安全。 统运行于安全可靠的操作系统，如据库系统，如 些操作系统和数据库系统，都已通过或超过 安全认证，或达到相应安全级别的管理要求。 系统管理员应当能够有效地利用它们的安全能力。 在实际工作中规定了口令长度，实行口令多次打不开系统失败后的账户锁定，强制上线用户定期更改口令等，以确保操作系统和数据库的口令安全。 按照 统的公司公告和推荐，及时下载操作系统和数据库系统的补丁程序，对系统存在的漏洞进行修补，尽最大可能减少系统的安全漏洞。 对于数据库的安全，除了口令、密码等安全外，还做好了数据的备份管理工作，包括实行对每天的生产系统数据备份，每周的数据校验，每月的数据备份的可用性和可恢复性检查。 切实的做好数据的备份工作，才能够确保 统内数据的稳妥和安全。 同时，在企业条件许可的情况下，还将考虑增加异地容灾系统，实行服务器异地运行，分别备份数据管理， - 13 - 以最大限度的提高 统的安全运行能力。 综上所述，企业信息化系统的安全实施，是软件、硬件和人员的高效结合，缺一不可。 企业要充分考虑各种可行举措，适应企业的业务发展，使系统安全高效的运行，满足管理和生产的需要。 第五章 结束语 回顾本文研究的过程及成果，提出研究的不足之处，以及今后还需努力解决的问题等。 参考文献：1罗凤兰，欧阳电平：统环境下信息系统内部控制的风险分析与防范基于某企业集团实施 例的思考，中国管理信息化，2005(5)2全现状和解决方案，网络安全技术与应用，2005(5)3理、设计、实施，北京：电子工业出版社，20024件的选择、需求和实施，电子与信息化，2000。