企业信息化建设中的系统与网络安全企业的信息化建设0001

1、【企业信息化建设中的系统与网络安全】企业的信息化建设冶金自动化2 0 0 9年s 1企业信息化建设中的系统与网络安全祝建荣1 ,吴晓东1 ,李超2（1 .宝1 1 1钢铁股份有限公司不锈钢分公司炼铁厂，上海2 00431; 2.宝111钢铁股份有限公司不锈钢分公司）摘要：信息安全是一个非常庞大、复杂的系统工程，涵盖的内容 十分广泛，从物理安全、网络安全、系统安全到应用安全、数据安全、安全管理和安全组织等，凡是涉及到影响系 统正常运行和业务连续性的都呵以认为是信息安全的问题。结合不锈钢信息化建设，从系统、网络安全的角度 来探讨如何解决信息化建设中企业内部、外部诸多不安全的隐患。关键词：防火墙；入

2、侵检测技术；安全评估系统；防病毒系统。前言2 0 04年4月3 0日，上海宝钢集团不锈钢分公即使系统或硬件出现故障时如何保证其应用系统继续工作等；二是主机系统的访问控制（AccessContrOl）,如：用户 只能访问那些被授权的主机系统或主机系统上的特定文件；三是系统 高可用性安全。针对这三种安全问题，采用不同的安全技术予以实现。1 . 1司（以下简称不锈钢公司）不锈钢工程项目炼钢、连铸、热轧（热轧于2 0 0 3年1 2月底投产）正式投产，与此同时不锈钢公司的生产控制/管理计算机系统第1阶段也已正式上线。由于整个生产控制/管理计算机系统与不 锈钢生产密切相关，任何安全事故都有可能对整个不锈

3、钢公司生产造 成不可估量的损失，因此整个系统的安全性要求非常高。不锈钢公司的信息化建设通过不锈钢公司和自身安全为了保证系统自身安全性，系统本身不应留有“后门”。即不应 以维护、支持或者操作的需要为借口，建立有违反或者绕过安全规则 的任何类型的入口和文档中未说明的任何模式的入口。 防止外部干扰 和控制。操作系统分层设计，对操作系统和用户程序要进行隔离。不锈钢信息化系统各应用予系统服务器所用宝信软件等系统集成商的不懈努力，已经建立了覆盖不锈钢公司各条生产线的L 2系统、整体产销管理的L 3系统、周边辅助系统（OA系统、档案系统、人事系统、电子商务及门户网站、一卡通系统）。随着企业信息化工程的不断深

4、入，今后的企业运作将越来越依赖于计算机系统和连接各系统之间的网络。操作系统的安全级别均已达到C 2级，可以有控制地进行存取保护，其具有识别和授权的责任，另外还有访问保护和审计跟踪的功能。C 2系统的用户分另U对各自的行为负责， 系统通过登录过程、安全事件和资源隔离来增强这种控制。不锈钢信息化系统各应用子系统操作系统安全级别汇总如表1所示。1 . 2访问控制计算机系统、网络的安全、可靠运行将直接成为公司生产运行、获得商业利益和竞争优势的前提条件。建立完整的络安全方案可以预防和避免各种 络安全威胁，从而避免危急数。据和系统安全的各 种隐患。为公司信息系统、控制系统和与外部的信息交换、信息服务 提供

5、有效、安全的环境。1对需要访问系统及其数据的人进行鉴别并验证其合法身份并进行 记账审计。采用第三方的Access系统安全主机系统的安全可以分为三个方面：一是主Control工具软件来实现对主要运行系统的机系统本身的安全问题，如：操作系统是否可靠，:2 0 0 8 1 2 们访问控制，同时也使原操作系统安全级别从c 2控作者简介：祝建荣(1 9 8 0 ),男，上海人，助理工程师， 丰要从事三电工作。7 2 8 1 ?冶金自动化2 0 0 9年S 1'制访问保护级提升到B 1标记安全保护级，从而系统自身更加 安全。衰1应用子系统操作系统安全级别1 . 3系统高可用性安全要保证一个系统不问

6、断地持续运行，只靠操作系统的安全是不够 的，服务器在运行过程中，难免会因为硬件故障或人为误操作，造成 非计划停机，导致系统无法正常工作。这时，就需要为系统提前准备 好高可用性解决方案及紧急预案来保障系统的运行率。不锈钢信息化 系统中各应用子系统均根据自己应用的特点，采用了各自不同的高可用性解决方案。具体情况如表2所示表2高可用性解决方案序号应用系统服务器类型麋萎翥高可用性软件2网络安全网络总体结构如图1所示。2 8 2 ?圈1网络总体结构为了保护网络基础设施的正常运行，包括路由器、交换机等构成的不锈钢信息系统主干网络。系统如表3所不建立不锈钢公司数据交换区，功能包括为公司对外服务器提供接 入、

7、相关单位接入设备的汇网络防火墙技术是一种用来加强网络之间 访在不锈钢公司网和集团公司网的连接处配霞两台防火墙串接于不 锈钢内部网络与集团网一台Ne t S c r e e n 5 0 0防火墙放置 于不锈钢主干此外，不锈钢综合络的拨号系统可以及相关子网，采用了一系列网络安全技术，主要有建立数据交换 区、防火墙技术、入侵检测技术、安全评估系统、防病毒系统等。不锈钢信息化安全2. 1建立数据交换区聚。这样可以防止外围网络及因特网直接连入与生产直接相关的 不锈钢主干网及局域网，为保障整个不锈钢生产管理网段多了一道屏 障（见图1 ） o2 . 2防火墙技术问控制，防止外部网络用户以非法手段通过外部网络

8、进入内部网络，访问内部网络资源，保护内部网络操作环境 的特殊网络互联技术。它对两个或多个网络之间传输的数据包如链接 方式按照一定的安全策略来实施检查1以决定网络之间的通信是否被允许，并监视网络运行状态。防火墙，以及在不锈钢公司内部的网络区域划分之间配置防火墙， 通过防火墙的策略配置，可以阻止大部分外部的恶意攻击和黑客入侵。互联区之间，起到互补作用网与服务缓冲区之间，用于主干网与服务缓冲区、集团专用网的 连接以及数据隔离。提供同时3 0路的拨入服务。拨号服务器一端和OmniPCX4400连接，另一端和防火墙连接。防火墙为运行在s uN蛇8 0 R上的CA公司的e 7 1' m s t软件

9、防火墙，通过这道防火墙对拨号用户访问不锈钢内部网络行为进行限制。裹3不锈钢信息化安全系统3 . 3入侵检测技术防火墙技术本身在安全防护方面存在一定的缺陷，即它只能提供 静态的、被动的保护，而对动态的威胁无能为力。因此在防火墙后配 备入侵检测系统，使用三台I B M公司的eSenrer) 3 4 5服务作为人侵检测硬件平台以及管理服务器，安装CA公司e饥8 t入侵检测系统，通过入侵检测系统发现外部的可疑攻击并调整防火墙的策略，把非预期的信息安全问题最大可能屏蔽在外。2. 4安全评估系统相对于与外部用户的攻击，内部用户的威胁可能更大，因为内部 用户具有对网络资源的可访'图2防病毒系统问性。

10、因此安装一套I S S公司的I n t e m e t是主要的隐患，主要的威胁于日益猖獗的计算机病毒。由于大多 数用户终端使用的操作系统均为W i n d o w S平台，针对W i n d o w 8平台的某些恶（互连网扫描器）对路由器、防火墙系统以及重要主系统的漏洞进行扫描与安全评估，并及时修补安全漏洞。IntemetSc肌ner部署在不锈钢综合 络系统的网管机上，从网络中心对不锈钢网络设备、L 2 / L 3主机 系统进行安全评估。性病毒可以直接导致用户终端无法使用、wind。啪平台服务 器受到感染而无法正常工作、网络带宽被大量占用甚至导致网络瘫痪 等严重后果。所以必须使用防病毒系统。来

11、保障用户终端、服务器和 网络的安全，从而使信息化系统能正常地运行和被使用。通过使用安全评估系统对包括网络通信服务、 操作系统、路由器、 电子邮件、we b服务器、防火墙和应用程序在内的网络和主机系统进行自动的安全漏洞检测 和分析，识别能被入侵者利用来进入网络的漏洞， 得到检测到的弱点 信息，包括位置、详细描述和建议的改进方案，最终确认所有安因此部署了M c A f e e的防病毒产品，主要由以下几部分组成。企业级计算机防病毒系统Mc地ev i m s S c a nE n t e叩r i 8 e :不锈钢各部门5 0 0台的个人全策略的正确配置，保证所有的系统都保持合理的安全性来抵御外部的攻击

12、。2 . 5防病毒系统不锈钢防病毒系统体系结构如图2所示。桌面计算机、笔记本电脑和应用服务器防病毒；防病毒网关Me Afeewebshiel d设在不锈钢邮件服务器前，阻止病毒通过邮件等方式进入不锈钢内部网；计算机病毒弱点检测Me A f e e1 / 1 r e a t S c肌：在每一个子网上选择一台计笋机作为T h聪a t S c肌的远.2 8 3.在内部用户中，恶意攻击和破坏信息系统不程代理，负责该子网的计算机的病毒弱点检测。防病毒集中策略管理系统E Pol icyorchestrato r （简地址冲突现象时有发生，致使合法设备无法正常工作，严重影响 了业务工作的开展。对违反规定或不

13、允许上网的计算机及网络设备， 在技术手段上不能限制其上网。对于网络地址管理，应完成对网络设备网络地址使用的监控，发 现网络地址盗用或非法网络地址进行报警并试图断开此网络地址。在网络计称E PO）:对不锈钢防病毒系统中的V i 1 1 J s S c a nE n terprise, nreatsca n和邮件服务器防病毒网 关？we b s h 1 e 1 d进行集中式策略管理；使用EPO进行产品 升级管理，包括软件的升级、病毒扫描引擎、病毒特征文件库和一 h r e a t S c帅的升级，可以将防护功能保持为状态；通过EPO进行配置和增强安全策略，实现集 中的告警管理，生成详细的图形报告。

14、整个系统管理采用EP。11 c y所示。在中心EPO服务器（防病毒控制中心）上可以对不锈钢的计算 机防病毒系统统一管理。EP o服务器用来对防病毒软件进行集中管理、配置，并收集、汇总防 病毒系统的报告。EPO服务器负责防病毒软件的分发、管理、配一置、安装和升级数据的提供，集中收集的病毒报警Orchestrator3. 0算环境中，由于所拥有的计算机资源数量相当庞大，因此无形中 就给网络管理员带来繁重的管理工作，特别是在网络地址的分配上，盗用或使用非进行集中管理，各L 2区域分布管理的方式如图2法网络的情况屡见不鲜。网络地址管理系统的主要目的就是帮助 网络管理人员对所管理的网络资源进行监控，并对

15、非法使用及盗用情况作出响应。使用宝信自主开发的E c叩系统对不锈钢的客户机资产进行管理 使用特制的DHe P服务器负责客户机网络地址的分发，并与EC叩中央管理系统进行通信，报告合法分配的IP地址情况。同时在不锈钢的各个用户V L AN安装E C叩事件，汇总病毒扫描报告和状态，维护防病毒软件的一致性和动 态防御能力。EP O服务器还可以对全网进行安全和病毒风险评估， 通过对网段和计算机的安全弱点和病毒威胁扫描， 识别处于防御薄弱 的设备、操作系统和应用，帮助管理员能够识别和消除致命弱点。利用管理控制台，在一个集中的界面下，对病I P地址管理代理端，对各网段进行违法I P地址使用情况的检测，并将采

16、集到的基本和违规信息传送到E C叩中央 管理系统上。管理员通过浏览器连接E C o p中央管理器，并对所有客户机资产进行管理。结束语网络安全技术在21世纪将成为络发毒域的机器安装防病毒域软件、卸载防病毒软件、配置和修改防 病毒软件，这些所有操作简化了最终用户使用防病毒软件的复杂性， 同时使管理对所辖范围的病毒感染情况和反病毒情况有一个集中的 了解，利用这些数据再制定防病毒策略。在全网范围内部署升级体系， 维护统一的升级策略，实现全网病毒定义码、扫描引擎的统一自动更 新和升级。2 . 6网络地址管理现在网络中存在这样一些情况：网络地址和展的关键技术，2 1世纪人类步入信息社会后，信息这一社会发展的重要战略资源需要网络安全技术的有力保障，才 能形成社会发展的推动力。现在企业 络安全工作的展开和产品开发仍处于起步阶段，仍有大量 的工作需要去研究、开发和探索，进一步完善企业 ，以保证 络的安全，推动企业高速发展，为企业保驾护航。：1 阙喜戎，孙锐，龚向阳，等.信息安全原理及应用计算机名乱用、冒用现象。