物流科技论文：信息平台网络安全研究.doc

物流科技论文：信息平台网络安全研究摘要根据物流企业信息平台的安全需求，从物流企业信息平台的物理、系统、网络、应用和管理五个安全层面入手，系统的设计了一套适用于物流企业信息平台的安全保障体系，为今后物流企业信息平台的研究和实际应用提供一个具有参考价值的安全框架。关键词 物流企业；信息平台1引言随着现代物流与网络技术的结合应用，物流企业与网络的结合日趋完善，目前已经出现越来越多的物流企业信息平台，物流企业信息平台是基于计算机网络、分布、异构的环境中，同时随着计算机技术、通讯技术和信息技术的不断发展，如何利用这些新兴技术在因特网上构建物流企业信息平台，来实现物流企业的信息化、快速化，也成为了物流企业发展的新趋势。目前，理论界还没有对物流企业信息平台的定义进行明确界定，笔者认为，物流企业信息平台是一个大型复杂的集成应用系统，它以Internet为媒介，物流企业的供应链成员或工作人员通过浏览器和分布在不同地域的其他成员进行交互，同时借助Web服务技术，使处理复杂的业务和数据变得方便可行，实现数据增值。物流企业信息平台是一个涉及到多个复杂的集成模块和众多供应链成员企业商业机密的复杂系统，任何一个安全漏洞都可能使物流企业信息平台受到致命的打击，其安全问题不容忽视。过去由于基础技术的问题，研究物流企业信息平台的安全领域存在较大困难。现在，随着各种安全技术和安全体系的不断进步，有必要在现有的物流企业研究成果上利用这些技术体系对其安全框架进行深入的研究，以便为物流企业信息平台提供一套安全保障体系，来保证信息平台的平稳运行、盟员信息的保密传输、资源的合法共享等。2物流企业信息平台的安全需求分析物流企业信息平台主要有公共信息发布、协议管理、商务管理、工作流程管理、私有信息中心、资源管理等功能。供应链成员可以在不同的地域通过浏览器登陆到物流企业信息平台主界面，输入用户名、密码进行身份认证和权限识别后，进入到相应的业务系统进行操作。在此过程中，如何保证客户信息的安全，如何保证工作人员身份不被假冒，如何保证信息平台运行时的安全，如何保证信息平台基础设施的安全，如何保证信息在平台上传输的安全等等一系列问题，都是物流企业信息平台安全保障体系开发和部署的时候应该考虑的问题。3物流企业信息平台安全目标及策略物流企业信息平台安全保障体系是为物流企业信息平台服务的，应实现以下目标：保护信息平台的可用性和稳定性；保护信息平台服务的连续性；防范信息平台的非法访问及非授权访问；防范入侵者对信息平台的恶意攻击与破坏；保护物流企业成员通过信息平台传输数据信息过程中的机密性、完整性；防范网络病毒对信息平台的侵害；实现信息平台的动态的、系统的、制度化的、以预防为主的安全管理模式。如果说物流企业信息平台安全保障体系的目标是一座大厦的话，那么相应的安全策略就是施工的蓝图，其安全策略可以归纳为以下几个方面：安全保障信息平台的设计、建设要遵守国家、政府部门相关的安全法律、法规、制度、标准和技术指南。建立完备的备份和应急响应机制，关键网络设备、系统信息和数据均要有备份手段和恢复机制。物流企业各业务系统软件要进行严格测试才能正式在物流企业信息平台上运行。通过防火墙、入侵检测系统和信息平台监测系统，有效抵御各种黑客攻击行为。对操作系统、数据库管理系统进行严格的安全配置，安装安全补丁，对关键主机安装主机保护系统。定期使用漏洞扫描系统对VE信息平台进行安全漏洞扫描，提出安全改进报告。通过安装网络防病毒软件，并定期升级病毒库，防止病毒入侵。物流企业成员均使用支持数字证书的智能IC卡，按最少特权原则，授予合适的权限，并能对其访问和操作进行唯一性识别，确保业务操作的不可否认性。建立与成员企业身份认证系统，构建统一认证网关，提供身份认证，保证数据存储、交换的完整性、可用性和敏感数据的机密性。建立完备的安全认证、授权、审计机制，保证设备的安全，同时从网络、系统、应用三个层面对每一项信息平台上的事务活动均有详细的日志记录，保证物流企业信息平台上的事务完全可以被追踪。建立有效的安全服务体系，以适应信息平台安全的动态性、复杂性和长期性特点。4物流企业信息平台的安全保障体系设计物流企业信息平台的安全保障体系不应该是仅仅由各种安全产品来解决的问题，而是应该涉及到技术、人员、组织及管理等多方面的系统性问题，不能只靠技术来完全解决。另外，信息平台的安全保障体系的建设和维护不可能一蹴而就，是一个分阶段、分层次实施的工程。根据上述物流企业信息平台的安全需求、安全目标和安全策略，笔者将整个物流企业信息平台的安全保障体系设计为物流企业成员（人的因素）、安全策略及法律法规、安全监控中心、安全基础设施、应用系统安全和安全管理体系六部分。物流企业信息平台的安全保障模型1）平台工作人员（人的因素）：平台工作人员是信息平台的使用者，应包括信息安全人员、系统安全人员、网络安全人员、数据安全人员、机房安全人员、警卫保安人员和防火安全人员，从而保障安全工作各个环节的有效实施。2）安全策略和法律法规：安全策略描述了要实现的安全目标和实现这些安全目标的途径；法律法规可以在一定程度上制止不正当行为的发生并对信息犯罪者进行一定的惩处，同时也为物流企业信息平台的安全工作界定了行为范围。3）安全监控中心：由防护、检测、响应和恢复功能，组成一个三层防护措施，来加强物流企业信息平台的安全。4）安全基础设施包括：防火墙系统：根据物流企业信息平台的网接点存在的安全隐患，用来隔离风险区域和安全区域的连接，仅让、授权的访问进入，从而来进行物流企业信息平台的边界保护。网络防病毒系统：防范网络病毒在信息平台上的入侵和传播。备份系统：对物流企业信息平台上的软、硬件设备和数据进行备以防范于未然。5）安全应用系统。安全应用系统是物流企业的建设重点，信息平行之后，最重要的是考虑物流企业成员身份和权限问题，应用系统全主要考虑以下几个方面：统一身份认证系统：为整个物流企业信息平台提供身份鉴别服务，建设物流企业自己的“CA认证中心”，为物流企业的所有盟员用户认证证书，建立可信的安全基础环境。授权管理系统：提供授权管理服务，实现对物流企业信息资源和的有效管理和控制，实现对物流企业应用系统中所有成员用户的授理。密码服务系统：为整个物流企业信息平台提供密码服务，形成可可靠的安全业务环境，并为物流企业信息平台建立有效的责任机制督机制奠定技术基础。6）安全管理体系包括：安全管理组织：形成一个统一领导、分工的组织体系，能够有效管理物流企业信息平台的安全工作。安全标准规范体系：指导整个物流企业信息平台建设，是物流企员在信息平台上进行沟通、业务协调、信息共享等活动所必须遵守准规范系。安全管理制度：包括网络安全管理、软件管理、信息管理、敏感信质管理、人员管理、安全保密产品管理、密码管理、维修管理及奖制度严格的安全管理制度，明确的安全职责划分，合理的成员角色定义，可以在很大程度上降低物流企业信息平台的安全隐患。安全服务体系：应该制定每年安全服务内容、服务时间、服务次数、安全培训、安全咨询、安全测试评估等安全服务，对物流企业信息平台的发展有重要意义。安全管理技术：利用目前已有的安全管理技术来提高物流企业信息平台管理的自动化能力，可以减轻管理人员的工作负担，减少人为失误带来的安全隐患。5结论物流企业信息平台安全保障体系的建设是一个十分复杂的系统工程，本文对物流企业信息平台安全保障体系做了深入细致的设计，通过信息平台上安全基础设施、应用系统安全和安全管理体系的设计，来提供工作人员身份鉴别、访问控制、防抵赖和客户数据机密性、完整性可用性、可控性等安全服务，并构建了集防护、检测、响应、恢复于一体的三层安全防护体系，从而实现物流企业信息平台的安全运行和稳定。随着物流企业信息化的发展，各种高科技的安全技术和管理理念将促进物流企业信息平台的安全研究。参考文献1李晓霞,张培军,姬志刚.探讨电子商务安全问题及安全体系的建立.