◆曹慶年 艾長春

（西安石油大學(xué) 陜西 710065）

基于企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全研究

◆曹慶年 艾長春

（西安石油大學(xué) 陜西 710065）

隨著社會和經(jīng)濟(jì)的快速發(fā)展，我國網(wǎng)絡(luò)技術(shù)也得到了空前的發(fā)展，隨之而來的網(wǎng)絡(luò)安全問題也嚴(yán)重影響著人們的生產(chǎn)生活。本文從企業(yè)的信息系統(tǒng)入手，主要介紹了當(dāng)前企業(yè)信息系統(tǒng)的基本情況，并分析及探討了當(dāng)前企業(yè)信息系統(tǒng)所面臨著的網(wǎng)絡(luò)安全問題，最終提出了一些構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系的建議，以期為今后相關(guān)工作提供一定的參考。

企業(yè)信息系統(tǒng)；網(wǎng)絡(luò)安全；防護(hù)技術(shù)

0 引言

當(dāng)前信息化時代中，信息技術(shù)已經(jīng)被廣泛應(yīng)用與各行各業(yè)中。為了能夠讓企業(yè)在激烈的市場競爭中獲得長足的發(fā)展，一些企業(yè)已經(jīng)積極建立起自己的網(wǎng)絡(luò)系統(tǒng)[1]。因此，企業(yè)的整體運作已經(jīng)極度依賴于信息系統(tǒng)之中，主要包括企業(yè)業(yè)務(wù)的發(fā)展及往來、企業(yè)內(nèi)部工作的調(diào)配及項目的完成等等。除此之外，通過信息系統(tǒng)的這一平臺，企業(yè)可以通過互聯(lián)網(wǎng)進(jìn)行相關(guān)信息的交流或共享，極大提高了企業(yè)在自我創(chuàng)新及績效上升的空間。然而，在信息系統(tǒng)平臺為企業(yè)工作及發(fā)展帶來的極大便利的同時，其存在的網(wǎng)絡(luò)安全問題也在時刻威脅著企業(yè)的良性發(fā)展，因此，加強企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全，已經(jīng)成為當(dāng)前企業(yè)發(fā)展過程中最值得重視的一大問題，也是實現(xiàn)企業(yè)可持續(xù)發(fā)展的基礎(chǔ)。

1 企業(yè)信息系統(tǒng)當(dāng)前存在的安全隱患

一般來說，企業(yè)信息系統(tǒng)的安全隱患主要存在以下兩大問題，即信息安全問題及網(wǎng)絡(luò)安全問題[2]。其中，信息安全包括企業(yè)在整體運行過程中所產(chǎn)生的相關(guān)數(shù)據(jù)信息的安全，包括對于重要商業(yè)信息的保密及儲存安全等，其主要面臨著信息數(shù)據(jù)的盜取、黑客入侵及攻擊、非法訪問或數(shù)據(jù)損壞等安全威脅；網(wǎng)絡(luò)安全則是指信息系統(tǒng)中相關(guān)應(yīng)用軟件及機械硬件的安全，軟件和硬件的損壞或電腦病毒的感染等問題都將威脅著信息系統(tǒng)的網(wǎng)絡(luò)安全。這兩方面的安全問題，都極大影響著企業(yè)信息系統(tǒng)的整體安全性和穩(wěn)定性。

2 企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)

當(dāng)前，為了應(yīng)對這種信息安全及網(wǎng)絡(luò)安全問題的發(fā)生，已經(jīng)形成了某些有效的網(wǎng)絡(luò)安全防護(hù)技術(shù)，以保障企業(yè)信息系統(tǒng)的基本安全。

2.1 防火墻技術(shù)

一般情況下，企業(yè)的信息系統(tǒng)是基于內(nèi)網(wǎng)而建設(shè)的，即只能在企業(yè)內(nèi)部供內(nèi)部人員使用。這樣一來，在內(nèi)網(wǎng)及外網(wǎng)之間建立起一個安全防護(hù)技術(shù)，將對阻隔外網(wǎng)入侵的安全威脅具有十分重要的意義，這類阻隔技術(shù)即為防火墻技術(shù)[3]。從本質(zhì)上來說，這種防火墻技術(shù)是根據(jù)其特殊的硬件及軟件設(shè)備，形成的一種對內(nèi)網(wǎng)進(jìn)行訪問控制的防護(hù)機制。其主要的工作原理為，利用某些過濾技術(shù)，將從外網(wǎng)進(jìn)入的數(shù)據(jù)信息流進(jìn)行相關(guān)過濾處理，以這種“墻”的阻隔方式，將外網(wǎng)向內(nèi)網(wǎng)傳遞的通信隱患完全隔離。

防火墻的防護(hù)技術(shù)在當(dāng)前企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全管理中占據(jù)著很大比例，其主要被設(shè)置在企業(yè)信息系統(tǒng)的服務(wù)器前端，并且，通過相關(guān)維護(hù)及技術(shù)人員進(jìn)行專業(yè)的維護(hù)和管理工作。在防火墻投入使用之前，管理人員還需對其進(jìn)行一些基礎(chǔ)的設(shè)置，例如防火墻的工作模式、防火墻的網(wǎng)絡(luò)接口等等。而維護(hù)管理人員應(yīng)當(dāng)根據(jù)企業(yè)的實際應(yīng)用要求及情況，來決定使用哪種防火墻的工作模式，Drop-InMode模式適用于沒有設(shè)置內(nèi)網(wǎng)的企業(yè)網(wǎng)絡(luò)環(huán)境，而RoutedMode工作模式則適用于使用內(nèi)網(wǎng)的企業(yè)，因此，一般是以選擇RoutedMode的工作模式為主。此外，在對防火墻進(jìn)行接口的設(shè)置之后，還要對其進(jìn)行之后的一系列基礎(chǔ)設(shè)置，最終需要通過 GUI程序讓企業(yè)信息系統(tǒng)網(wǎng)絡(luò)與防火墻進(jìn)行成功的連接。

2.2 NAT技術(shù)

NAT技術(shù)即網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，其主要防護(hù)功表現(xiàn)在：通過一個NAT的專有軟件，將企業(yè)內(nèi)部的某些私有IP地址進(jìn)行隱藏，并轉(zhuǎn)化為一個或有限個數(shù)的公有 IP地址，進(jìn)而通過隱藏了真實的企業(yè)IP地址而對其進(jìn)行安全性能的保護(hù)[4]。而NAT的轉(zhuǎn)換技術(shù)可以包括靜態(tài)轉(zhuǎn)換技術(shù)、動態(tài)轉(zhuǎn)換技術(shù)和端口多路復(fù)用技術(shù)等。相比較而言，靜態(tài)轉(zhuǎn)換技術(shù)具有設(shè)置簡單、操作方便的主要優(yōu)勢，通過 NAT技術(shù)的靜態(tài)轉(zhuǎn)換，可以將企業(yè)信息系統(tǒng)的內(nèi)部網(wǎng)絡(luò)中的所有主機都能夠被永久的轉(zhuǎn)換為外部網(wǎng)絡(luò)的某一公共的、合法的 IP地址，這樣一來，可以為企業(yè)節(jié)約大量地址注冊資源，同時還可以為 IP地址的重疊提供有效的解決方案，以進(jìn)一步提高網(wǎng)絡(luò)使用的靈活性和安全性。

2.3 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種防火墻的補充解決方案，即對網(wǎng)絡(luò)傳輸?shù)膶嵤┬员O(jiān)視，對可疑的信息發(fā)出警報或者進(jìn)行主動防御的一種網(wǎng)絡(luò)安全設(shè)備的?？梢杂脕矸乐咕W(wǎng)絡(luò)設(shè)備即路由器、交換機以及網(wǎng)絡(luò)帶寬乃至服務(wù)器（主要是操作系統(tǒng)和應(yīng)用層）受到的DoS攻擊[5]。一般先進(jìn)的IDS設(shè)備包含兩個部分：一個是用來保護(hù)的IDS，一個是保護(hù)服務(wù)器以及應(yīng)用運行的主機IDS。所以說IDS是一種積極主動的安全防護(hù)技術(shù)，當(dāng)然也存在其自身的缺點，如對自身攻擊的保護(hù)，對數(shù)據(jù)的檢測，會影響其他傳輸?shù)臋z測。

檢測技術(shù)是基于對各種不同事件的分析，根據(jù)不同的算法發(fā)現(xiàn)違反安全策略的行為。違反安全策略的行為一般由兩類，一類是基于標(biāo)志的，另一類是異常情況分析?；跇?biāo)志的需要定義哪些是違背安全策略的特征，比如說網(wǎng)絡(luò)數(shù)據(jù)包的包頭信息與預(yù)設(shè)信息不匹配，或者說某些特征數(shù)據(jù)沒有獲取到[6]。異常信息的檢測是需要定義正常的數(shù)值，包含一些CPU、內(nèi)存的關(guān)鍵參數(shù)，最后通過運行的數(shù)據(jù)與設(shè)計的正常值比較來發(fā)現(xiàn)非正常的跡象。目前所使用的算法有貝葉斯推理法、模式預(yù)測法、統(tǒng)計、機器學(xué)習(xí)方法、數(shù)據(jù)挖掘法等。

雖然入侵檢測系統(tǒng)有其弱點存在，由于其無須跨接鏈路、流量的優(yōu)點使得它的應(yīng)用變得越來越廣泛。

2.4 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全中確認(rèn)操作人員身份的一種方式，計算機對操作者的確認(rèn)僅僅是一組特定的數(shù)字，只要是識別到這組特殊的身份數(shù)字，計算機就對該操作者授權(quán)，所以身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全的第一道關(guān)卡，有著非常重要的作用。

目前主流的身份認(rèn)證技術(shù)有四種，用戶名以及秘鑰，生物識別特征技術(shù)，數(shù)字簽名證書，動態(tài)口令。用戶名以及秘鑰技術(shù)可以是靜態(tài)密碼，登錄時輸入密碼，可能會面臨這離線字典的破解方法，安全性不是很高。生物特征識別則是對生物本身獨一無二特征數(shù)據(jù)存取的校驗如指紋、虹膜、語音、DNA等。數(shù)字簽名則是一種哈希算法的加密技術(shù)，利用公私鑰的計算匹配技術(shù)，強依賴與數(shù)字可分解難度。動態(tài)口令是一種較為安全可靠的認(rèn)證方式，根據(jù)時間，不同的時間密碼不同，可以有效抑制暴力破解技術(shù)，超過時間密碼會改變，服務(wù)器和終端兩端的密碼同時改變保證了安全性，目前比較常用，如銀行使用的USBKEY，智能卡等設(shè)備。

3 結(jié)語

除了以上幾種網(wǎng)絡(luò)安全防護(hù)技術(shù)之外，還包括防病毒技術(shù)以及數(shù)據(jù)備份技術(shù)等已經(jīng)被普遍使用的防護(hù)技術(shù)，其主要目的都在于對企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行不同層面上的保衛(wèi)及防護(hù)。總而言之，這類信息安全技術(shù)越發(fā)達(dá)，對于企業(yè)項目推進(jìn)、內(nèi)部交流及整體發(fā)展都會起到堅實的保障作用。

[1]顧建強，梅姝娥，仲偉俊.基于網(wǎng)絡(luò)安全保險的信息系統(tǒng)安全投資激勵機制[J].系統(tǒng)工程理論與實踐，2015.

[2]汪蘭英.船載電子信息系統(tǒng)的計算機網(wǎng)絡(luò)安全可靠性分析[J].艦船科學(xué)技術(shù)，2016.

[3]程慶梅.軟件定義網(wǎng)絡(luò)技術(shù)在職業(yè)院校信息化網(wǎng)絡(luò)安全管理中的研究和應(yīng)用[J].中國職業(yè)技術(shù)教育，2015.

[4]楊云雪，魯驍，董軍.基于企業(yè)環(huán)境的網(wǎng)絡(luò)安全風(fēng)險評估[J].計算機科學(xué)與探索，2016.

[5]王繼斌，劉環(huán)鵬.醫(yī)院信息系統(tǒng)內(nèi)網(wǎng)終端安全管理研究[J].信息技術(shù)，2016.

[6]李濤，張馳.基于信息安全等保標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全風(fēng)險模型研究[J].信息網(wǎng)絡(luò)安全，2016.