基于企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全研究

1 引言

目前，信息技術(shù)在我國取得了高速的發(fā)展，各個(gè)企業(yè)紛紛建立起了自己的信息系統(tǒng)。企業(yè)間業(yè)務(wù)的往來，企業(yè)內(nèi)部項(xiàng)目的完成，無不依賴于信息技術(shù)的平臺，企業(yè)通過互聯(lián)網(wǎng)將世界各地的信息互聯(lián)共享，“數(shù)字地球”這一提法正是電子信息化廣泛應(yīng)用的形象寫照。但是，隨著企業(yè)信息網(wǎng)絡(luò)開放性的提高，其安全性已成為不容忽視的重要問題，它是考驗(yàn)網(wǎng)絡(luò)性能的關(guān)鍵。

2 企業(yè)信息系統(tǒng)存在的網(wǎng)絡(luò)安全隱患

企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全主要分為兩個(gè)層面：即網(wǎng)絡(luò)安全、信息安全。網(wǎng)絡(luò)安全主要包括系統(tǒng)軟件、應(yīng)用軟件以及硬件平臺的安全；信息安全主要是指數(shù)據(jù)信息的安全，如數(shù)據(jù)的加密、備份等。目前，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)主要存在的安全威脅有計(jì)算機(jī)病毒的感染、黑客入侵和攻擊、內(nèi)部用戶非法訪問、數(shù)據(jù)意外損壞或丟失等。

3 企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)

3.1 防火墻技術(shù)

防火墻處于內(nèi)網(wǎng)和外網(wǎng)之間，用來執(zhí)行兩網(wǎng)之間的訪問控制策略。從本質(zhì)上來講，它是一種保護(hù)內(nèi)網(wǎng)安全運(yùn)行的訪問控制技術(shù)。它由硬件和軟件兩部分組成，主要包括包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及電路層網(wǎng)關(guān)等，一般在企業(yè)信息系統(tǒng)內(nèi)網(wǎng)服務(wù)器前端放置，基主要工作原理是：通過包過濾技術(shù)將從內(nèi)網(wǎng)和外網(wǎng)過來的數(shù)據(jù)流利用應(yīng)用層代理的方式進(jìn)行處理，從而實(shí)現(xiàn)內(nèi)外網(wǎng)之間的安全通信。

硬件防火墻是企業(yè)信息網(wǎng)絡(luò)系統(tǒng)中比較常見的，在使用它之前需要進(jìn)行一些設(shè)置，如工作模式的設(shè)定、網(wǎng)絡(luò)接口的設(shè)置等。防火墻的工作模式有兩個(gè)：Drop-In Mode和Routed Mode。前者主要適用于無內(nèi)網(wǎng)的環(huán)境，所以一般選擇“Routed Mode”模式。然后進(jìn)行外部接口、內(nèi)部接口的設(shè)置。完成一系列配置后，便可通過GUI 程序與防火墻相連接了。

3.2 NAT 技術(shù)

NAT技術(shù)是一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，通過在路由器上這安裝NAT軟件，在訪問外網(wǎng)時(shí)，會(huì)將企業(yè)內(nèi)部的私有IP地址轉(zhuǎn)換成有限的數(shù)個(gè)（或一個(gè)）公有IP地址，從而隱藏企業(yè)內(nèi)網(wǎng)各個(gè)主機(jī)的真實(shí)IP地址，達(dá)到提高網(wǎng)絡(luò)安全性的目的。NAT技術(shù)的實(shí)現(xiàn)主要有三種方式：靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換以及端口多路復(fù)用。

以靜態(tài)轉(zhuǎn)換為例，通過一段NAT配置代碼簡述其原理。

如圖1所示，此企業(yè)通過一臺路由器（S0為內(nèi)部端口，S1為外部端口）與外網(wǎng)相連，企業(yè)有兩臺服務(wù)器：FTP服務(wù)器和Web服務(wù)器，供外網(wǎng)用戶訪問。假如企業(yè)申請到四個(gè)公網(wǎng)地址（222.222.100.1-222.222.100.4），可以做如下配置：（ISP端路由器使用222.222.100.4）

Router（config）#int s0

Router（config-if）#ip add 192.168.100.254 255.255.255.0

Router（config-if）#ip nat inside

Router（config）#int s1

Router（config-if）#ip add 222.222.100.1 255.255.255.248

Router（config-if）#ip nat outside

Router（config）#ip nat inside source static 192.168.100.1 222.222.100.2

Router（config）#ip nat inside source static 192.168.100.2 222.222.100.3

Router（config）#access-list 1 permit 192.168.100.0 0.0.0.255

Router（config）#ip nat inside source list 1 interface s1 overload

Router（config）#ip route 0.0.0.0 0.0.0.0 222.222.100.4

通過這樣的配置，外部用戶在訪問企業(yè)信息系統(tǒng)時(shí)，路由器通過NAT技術(shù)將公網(wǎng)IP地址轉(zhuǎn)到內(nèi)部IP地址，從而對內(nèi)部服務(wù)器進(jìn)行訪問，但外部用戶只能看到公網(wǎng)IP地址。

3.3 入侵檢測系統(tǒng)IDS

入侵檢測系統(tǒng)（IDS）可以主動(dòng)防御攻擊，與防火墻相配合可以使企業(yè)信息系統(tǒng)的安全防御更加完善，在信息系統(tǒng)的網(wǎng)絡(luò)安全中起著非常重要的作用。IDS一般放置在內(nèi)網(wǎng)服務(wù)器前端，如圖2所示，檢測器與控制臺的設(shè)置是入侵檢測系統(tǒng)的關(guān)鍵。我們可以在外路由器與外網(wǎng)的連接處，防火墻與管理信息系統(tǒng)（MIS）之間分別設(shè)置檢測器，在管理信息系統(tǒng)和監(jiān)控信息系統(tǒng)（SIS）中分別設(shè)置檢測器；在管理信息系統(tǒng)中設(shè)置控制臺。然后，為重點(diǎn)服務(wù)器、工作站安裝入侵檢測軟件。

3.4 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是用來對來訪用戶進(jìn)行身份驗(yàn)證，從而對不同的用戶進(jìn)行訪問控制和記錄。為了確保網(wǎng)絡(luò)的安全，特定的用戶只能訪問特定的網(wǎng)絡(luò)資源，這就在一定程度上限制了非法用戶的訪問，使其無法訪問權(quán)限以外網(wǎng)絡(luò)資源。

其中指紋加密技術(shù)是公認(rèn)的可靠性強(qiáng)的身份認(rèn)證技術(shù)。其主要原理是：首行在計(jì)算機(jī)上運(yùn)用IDEA算法為用戶生成一個(gè)用戶密鑰IDEAK，之后將它與用戶名及用戶指紋信息一起用KDC（密鑰分配中心）的公鑰EPK進(jìn)行加密，最后將這些信息存儲到KDC中。

身份認(rèn)證時(shí)，將用戶名及指紋信息與數(shù)據(jù)庫中的記錄相比對，合法用戶將獲得其RSA私鑰，來解密公鑰加密信息，從而獲得與外界網(wǎng)絡(luò)的安全通信。

3.5 SSL加密技術(shù)

在數(shù)據(jù)傳輸過程中，為了保證數(shù)據(jù)的安全，很多企業(yè)采用SSL加密技術(shù)。 主要是建造一條介于瀏覽器和Web服務(wù)器之間的安全通道，從而來進(jìn)行數(shù)據(jù)的安全傳輸。SSL主要采用RC4、MD5、RSA等加密算法，使用的密鑰位數(shù)達(dá)到40 位，尤其適用于對商業(yè)重要信息的加密。如百度、淘寶等中的HTTPS就是HTTP over SSL，是基于SSL技術(shù)開發(fā)的瀏覽器內(nèi)置協(xié)議。它通過默認(rèn)端口443來和TCP/IP進(jìn)行通信，而不是HTTP中使用的80端口。HTTPS協(xié)議使用SSL技術(shù)在發(fā)送方加密原始數(shù)據(jù)，之后在接受方對數(shù)據(jù)進(jìn)行解密，兩個(gè)過程都需要通過交換密鑰來完成。因此，數(shù)據(jù)在傳送過程中就不易被黑客截獲、解密。

5 結(jié)束語

企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)除了上述幾種外，還有防病毒技術(shù)、虛擬局域網(wǎng)技術(shù)、數(shù)據(jù)備份技術(shù)等一些被廣大企業(yè)普遍應(yīng)用的技術(shù)?？傊ㄟ^各種措施加強(qiáng)企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全，為企業(yè)商業(yè)項(xiàng)目的推進(jìn)保架護(hù)航，從而為社會(huì)創(chuàng)造更大的價(jià)值。

參考文獻(xiàn)

[1] 袁敬.計(jì)算機(jī)網(wǎng)絡(luò)安全分析研究[J].信息安全與技術(shù)，2015（1）：28-29+47.

[2] 段軍紅，崔阿軍，張馴，張華峰，閆曉斌.面向智能電網(wǎng)的網(wǎng)絡(luò)信息安全架構(gòu)[J].信息安全與技術(shù)， 2015（11）： 52-54.

作者簡介：

林寬勝（1979-），男，甘肅天水人，大學(xué)本科，中級工程師；主要研究方向和關(guān)注領(lǐng)域：無線電廣播與有線電視。