【企业信息化建设中的系统与网络安全】企业的信息化建设
《冶金自动化》2009年s1
企业信息化建设中的系统与网络安全
祝建荣1,吴晓东1,李超2
(1.宝lll钢铁股份有限公司不锈钢分公司炼铁厂,上海200431;2.宝lll钢铁股份
有限公司不锈钢分公司)
摘要:信息安全是一个非常庞大、复杂的系统工程,涵盖的内容十分广泛,从物理安全、网络安全、系统安全到应
用安全、数据安全、安全管理和安全组织等,凡是涉及到影响系统正常运行和业务连续性的都呵以认为是信息
安全的问题。结合不锈钢信息化建设,从系统、网络安全的角度来探讨如何解决信息化建设中来自企业内部、外部诸多不安全的隐患。
关键词:防火墙;入侵检测技术;安全评估系统;防病毒系统
O前言
2004年4月30日,上海宝钢集团不锈钢分公
即使系统或硬件出现故障时如何保证其应用系统继续工作等;二是主机系统的访问控制(AccessContr01),如:用户只能访问那些被授权的主机系统或主机系统上的特定文件;三是系统高可用性
安全。
针对这三种安全问题,采用不同的安全技术予以实现。
1.1
司(以下简称不锈钢公司)不锈钢工程项目炼钢、连
铸、热轧(热轧于2003年12月底投产)正式投产,与此同时不锈钢公司的生产控制/管理计算机系统第
l阶段也已正式上线。由于整个生产控制/管理计算机系统与不锈钢生产密切相关,任何安全事故都有可能对整个不锈钢公司生产造成不可估量的损
失,因此整个系统的安全性要求非常高。
不锈钢公司的信息化建设通过不锈钢公司和
自身安全
为了保证系统自身安全性,系统本身不应留有“后门”。即不应以维护、支持或者操作的需要为借口,建立有违反或者绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。防止外部干扰和控制。操作系统分层设计,对操作系统和用户程序要进行隔离。
不锈钢信息化系统各应用予系统服务器所用
宝信软件等系统集成商的不懈努力,已经建立了
覆盖不锈钢公司各条生产线的L2系统、整体产销
管理的L3系统、周边辅助系统(OA系统、档案系统、人事系统、电子商务及门户网站、一卡通系统)。随着企业信息化工程的不断深入,今后的企
业运作将越来越依赖于计算机系统和连接各系统之间的网络。
,
操作系统的安全级别均已达到C2级,可以有控制地进行存取保护,其具有识别和授权的责任,另外还有访问保护和审计跟踪的功能。C2系统的用户分另U对各自的行为负责,系统通过登录过程、安全事件和资源隔离来增强这种控制。不锈钢信息
化系统各应用子系统操作系统安全级别汇总如表1所示。1.2访问控制
计算机系统、网络的安全、可靠运行将直接成为公司生产运行、获得商业利益和竞争优势的前提条件。建立完整的信息网络安全方案可以预防
和避免各种信息网络安全威胁,从而避免危急数。据和系统安全的各种隐患。为公司信息系统、控制系统和与外部的信息交换、信息服务提供有效、安全的环境。
1
对需要访问系统及其数据的人进行鉴别并验证其合法身份并进行记账审计。采用第三方的
Access
系统安全
主机系统的安全可以分为三个方面:一是主
Contr01工具软件来实现对主要运行系统的
机系统本身的安全问题,如:操作系统是否可靠,
收稿日期:2008一12们
访问控制,同时也使原操作系统安全级别从c2控
作者简介:祝建荣(1980-),男,上海人,助理工程师,丰要从事三电工作。
・281・
《冶金自动化》2009年S1
‘制访问保护级提升到Bl标记安全保护级,从而系统自身更加安全。
衰1应用子系统操作系统安全级别
1.3系统高可用性安全
要保证一个系统不问断地持续运行,只靠操作系统的安全是不够的,服务器在运行过程中,难免会因为硬件故障或人为误操作,造成非计划停机,导致系统无法正常工作。这时,就需要为系统提前准备好高可用性解决方案及紧急预案来保障系统的运行率。不锈钢信息化系统中各应用子系
统均根据自己应用的特点,采用了各自不同的高
可用性解决方案。具体情况如表2所示。
表2高可用性解决方案
序号应用系统服务器类型鏖萎翥
高可用性软件
2
网络安全
网络总体结构如图1所示。
・282・
圈l网络总体结构
为了保护网络基础设施的正常运行,包括路
由器、交换机等构成的不锈钢信息系统主干网络。
系统如表3所示。
‘
建立不锈钢公司数据交换区,功能包括为公司对外服务器提供接入、相关单位接入设备的汇网络防火墙技术是一种用来加强网络之间访
在不锈钢公司网和集团公司网的连接处配霞两台防火墙串接于不锈钢内部网络与集团网一台NetScreen500防火墙放置于不锈钢主干此外,不锈钢综合信息网络的拨号系统可以
及相关子网,采用了一系列网络安全技术,主要有建立数据交换区、防火墙技术、入侵检测技术、安
全评估系统、防病毒系统等。不锈钢信息化安全
2.1建立数据交换区
聚。这样可以防止外围网络及因特网直接连入与生产直接相关的不锈钢主干网及局域网,为保障整个不锈钢生产管理网段多了一道屏障(见图
1)o
2.2防火墙技术
问控制,防止外部网络用户以非法手段通过外部
网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联技术。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查i以决定网络之间的通信
是否被允许,并监视网络运行状态。
防火墙,以及在不锈钢公司内部的网络区域划分之间配置防火墙,通过防火墙的策略配置,可以阻止大部分来自外部的恶意攻击和黑客入侵。
互联区之间,起到互补作用。
网与服务缓冲区之间,用于主干网与服务缓冲区、集团专用网的连接以及数据隔离。
提供同时30路的拨入服务。拨号服务器一端和
OmniPCX4400连接,另一端和防火墙连接。防火
墙为运行在suN砣80R上的CA公司的e7I’mst软
件防火墙,通过这道防火墙对拨号用户访问不锈
钢内部网络行为进行限制。
裹3不锈钢信息化安全系统
2.3入侵检测技术
防火墙技术本身在安全防护方面存在一定的缺陷,即它只能提供静态的、被动的保护,而对动态的威胁无能为力。因此在防火墙后配备入侵检
测系统,使用三台IBM公司的eSenrer)【345服务器
作为人侵检测硬件平台以及管理服务器,安装CA
公司e饥8t入侵检测系统,通过入侵检测系统发
现外部的可疑攻击并调整防火墙的策略,把非预
期的信息安全问题最大可能屏蔽在外。
2.4安全评估系统
相对于与外部用户的攻击,内部用户的威胁可能更大,因为内部用户具有对网络资源的可访
’图2防病毒系统
问性。因此安装一套ISS公司的Intemet
scanner
是主要的隐患,主要的威胁来自于日益猖獗的计算机病毒。由于大多数用户终端使用的操作系统
均为Windows平台,针对Window8平台的某些恶
(互连网扫描器)对路由器、防火墙系统以及重要主系统的漏洞进行扫描与安全评估,并及时修补
安全漏洞。IntemetSc肌ner部署在不锈钢综合信息网络系统的网管机上,从网络中心对不锈钢网络设备、L2/L3主机系统进行安全评估。
性病毒可以直接导致用户终端无法使用、windo啪平台服务器受到感染而无法正常工作、网络带宽被大量占用甚至导致网络瘫痪等严重后果。所以必须使用防病毒系统。来保障用户终端、服务器和网络的安全,从而使信息化系统能正常地运行和
被使用。
通过使用安全评估系统对包括网络通信服务、操作系统、路由器、电子邮件、web服务器、防
火墙和应用程序在内的网络和主机系统进行自动的安全漏洞检测和分析,识别能被入侵者利用来进入网络的漏洞,得到检测到的弱点信息,包括位置、详细描述和建议的改进方案,最终确认所有安
因此部署了McAfee的防病毒产品,主要由以
下几部分组成。企业级计算机防病毒系统Mc地e
vimsScan
Ente叩ri8e:不锈钢各部门500台的个人
全策略的正确配置,保证所有的系统都保持合理
的安全性来抵御外部的攻击。2.5防病毒系统
不锈钢防病毒系统体系结构如图2所示。
桌面计算机、笔记本电脑和应用服务器防病毒;防病毒网关McAfeewebshield设在不锈钢邮件服务器前,阻止病毒通过邮件等方式进入不锈钢内部网;计算机病毒弱点检测McAfee1'}lreatSc肌:在每一个子网上选择一台计笋机作为Th聪atSc肌的远
.283.
在内部用户中,恶意攻击和破坏信息系统不
程代理,负责该子网的计算机的病毒弱点检测。
防病毒集中策略管理系统EPolicyorchestrator(简
地址冲突现象时有发生,致使合法设备无法正常工作,严重影响了业务工作的开展。对违反规定或不允许上网的计算机及网络设备,在技术手段
上不能限制其上网。
对于网络地址管理,应完成对网络设备网络地址使用的监控,发现网络地址盗用或非法网络地址进行报警并试图断开此网络地址。在网络计
称EPO):对不锈钢防病毒系统中的VillJsScan
En—
terprise,nreatscan和邮件服务器防病毒网关・
webshield进行集中式策略管理;使用EPO进行产品升级管理,包括软件的升级、病毒扫描引擎、病毒特征文件库和1'hreatSc帅的升级,可以将防护
功能保持为最新状态;通过EPO进行配置和增强安全策略,实现集中的告警管理,生成详细的图形报告。整个系统管理采用EPolicy所示。
在中心EPO服务器(防病毒控制中心)上可以对不锈钢的计算机防病毒系统统一管理。EPo
服务器用来对防病毒软件进行集中管理、配置,并收集、汇总防病毒系统的报告。
EPO服务器负责防病毒软件的分发、管理、配一置、安装和升级数据的提供,集中收集的病毒报警
Orchestrator3.0
算环境中,由于所拥有的计算机资源数量相当庞大,因此无形中就给网络管理员带来繁重的管理
工作,特别是在网络地址的分配上,盗用或使用非
进行集中管理,各L2区域分布管理的方式如图2
法网络的情况屡见不鲜。网络地址管理系统的主要目的就是帮助网络管理人员对所管理的网络资
源进行监控,并对非法使用及盗用情况作出响应。
使用宝信自主开发的Ec叩系统对不锈钢的客户机资产进行管理。使用特制的DHcP服务器
负责客户机网络地址的分发,并与EC叩中央管理
系统进行通信,报告合法分配的IP地址情况。
同时在不锈钢的各个用户VLAN安装Ec叩
事件,汇总病毒扫描报告和状态,维护防病毒软件的一致性和动态防御能力。EPO服务器还可以对全网进行安全和病毒风险评估,通过对网段和计算机的安全弱点和病毒威胁扫描,识别处于防御薄弱的设备、操作系统和应用,帮助管理员能够识
别和消除致命弱点。
利用管理控制台,在一个集中的界面下,对病
IP地址管理代理端,对各网段进行违法IP地址使
用情况的检测,并将采集到的基本信息和违规信息传送到EC叩中央管理系统上。管理员通过浏
览器连接ECop中央管理器,并对所有客户机资产
进行管理。
3
结束语
网络安全技术在2l世纪将成为信息网络发
毒域的机器安装防病毒域软件、卸载防病毒软件、配置和修改防病毒软件,这些所有操作简化了最终用户使用防病毒软件的复杂性,同时使管理对所辖范围的病毒感染情况和反病毒情况有一个集中的了解,利用这些数据再制定防病毒策略。在全网范围内部署升级体系,维护统一的升级策略,实现全网病毒定义码、扫描引擎的统一自动更新
和升级。
2.6网络地址管理
现在网络中存在这样一些情况:网络地址和
展的关键技术,21世纪人类步入信息社会后,信息
这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。现在
企业信息网络安全工作的展开和产品开发仍处于起步阶段,仍有大量的工作需要去研究、开发和探索,进一步完善企业信息网,以保证信息网络的安
全,推动企业高速发展,为企业保驾护航。参考文献:
[1]阙喜戎,孙
锐,龚向阳,等.信息安全原理及应用
计算机名乱用、冒用现象。一些用户自行购置的计算机和网络设备,不登记即自行安装上网,管理
员缺乏有效的监控手段。因此,上网设备的网络.
[M].北京:清华大学出版社,2003.
[2]冯卺围.网络安伞原理与技术[M].北京:科学出版社,
2003.
[编辑:周希章]
・284・
企业信息化建设中的系统与网络安全
作者:作者单位:
祝建荣, 吴晓东, 李超
祝建荣,吴晓东(宝山钢铁股份有限公司不锈钢分公司,炼铁厂,上海,200431), 李超(宝山钢铁股份有限公司不锈钢分公司)
本文链接:.com.cn/Conference_7148708.aspx