论文部分内容阅读
摘 要:本文通过分析当前我国企业在网络管理及信息保护方面的现状和存在的问题,进行了企业网络信息保护系统的层次结构分析和系统设计。提出要在实现内网的安全管理的基础上,结合用户身份认证技术和数据加密技术来保护企业网络信息系统中的数据安全,防止企业机密信息泄漏或被盗窃。
关键词:网络管理;信息保护;身份认证
中图法分类号:TP3 文献标识码:A
Design of the Business Network Information Security System
CHEN shao-jun,ZHANG Lei
(Xinxiang College,Henan Xinxiang 453000)
Key words: network management;information protection;identity authentication
数据信息是企业的重要资源,它甚至是一个企业生存的关键,计算机和网络本身并没有给企业提供一个足够安全的环境来保障企业内部数据的安全。企业的内部信息系统(如ERP系统、OA系统等)都需要在一个安全、稳定的网络平台上运行,而网络管理及信息安全保护恰恰也是容易被企业所忽视的一个环节。当前,我国企业的信息化建设快速发展与企业网络信息安全管理的相对滞后已形成一个亟待解决的突出矛盾。要保证企业数据信息不被剽窃、篡改、复制,必须妥善处理基于计算机和网络的数据和文件的安全保护问题,将网络安全管理和桌面信息安全防护有机结合起来,才能有效增强企业ERP和OA等信息系统的安全性,给企业的信息数据提供足够的安全保障。企业内部网络管理及信息安全保护作为企业信息化建设的重要一环,对提高企业生产效率,保护企业秘密,促进企业发展有着非常现实和重要的意义。
1 企业网络信息安全的现状
随着企业网络信息化建设的不断推进,各种数据信息在企业整个业务过程中起着至关重要的作用,信息数据的安全和保密性也成为了至关重要的问题。企业因信息被窃取所造成的损失超过病毒破坏和黑客攻击所造成的损失,各种重要数据、文件的滥用、丢失、被盗所造成的损失以亿计。
通过对当前信息安全系统的反思,造成这一情况的一个重要的原因,就是信息安全假设不对头,传统的安全保护产品如:杀毒软件、计算机口令、软加密、加密狗等产品都是对计算机和网络部分安全的保护。防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议;入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道,供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段;安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理,而没有解决用户的物理身份和数字身份相对应的问题,即缺乏为这些安全系统提供权限管理的依据。传统的安全保护产品只是解决了防止外部人员非法访问的问题,不能解决内部人员通过电子邮件、移动硬盘或笔记本电脑把电子文档进行二次传播的问题。
因此,企业对信息安全保护系统的要求是多方面、多层次的,企业所需要的是建立一个从内到外的多层次的信息安全保护体系,将被动防御与主动保护相结合,最终实现对企业机密信息的全方位保护。
2 系统设计目标及层次结构分析
建立企业网络信息安全保护体系的目的是要保证存储在企业计算机及网络中的数据只能够被有权操作的用户访问,防御来自企业内部及外部的各种安全威胁,防止企业数据被非法窃取。完整的企业网络信息安全保护体系应至少包括自下而上依次为:“网络安全管理”、“用户身份认证”、“数据加密保护”三个安全保护层次。
2.1网络安全管理的目标和内容
由于计算机网络是企业其它信息管理系统赖以运行的基础,没有网络的安全,其它任何有效的管理和保护措施就无从谈起。大多企业都重视提高企业网的边界安全,但是很多企业网络的核心内网还是非常脆弱的。网络边界安全技术主要是防范来自公共的网络(Internet)攻击。而内网安全的威胁不同于网络边界的威胁,内网安全威胁主要源于企业内部。应在边界展开黑客防护措施的同时,建立并加强内网安全防范策略。
网络安全管理应为企业提供一个健壮、安全的内部计算机网络环境。网络安全管理的目标在于在提高企业内部网络运行效率,有效管理和分配内部网络资源,对网内的用户计算机进行集中管理,简化系统管理员对企业用户的计算机和网络维护管理,减少企业信息部门的呼叫服务,减少企业的网络维护成本。管理范围包括基于网络管理策略的网络自动维护、防止企业用户更改IP地址和计算机名、防止计算机非法联入互联网、对企业信息存储系统的访问控制、网内计算机系统软硬件配置的监控等。
网络安全管理的内容包括:网络规划与地址管理、网络管理策略与分发、网络远程监控与维护、入侵监测与安全预警。主要功能是按企业机构设置进行网络(VLAN)规划和计算机分配,采用基于MAC地址的地址安全绑定技术,将每台工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理,并实现网络管理策略的自动分发和网络远程维护和监控功能。
2.2用户身份认证
企业内部的信息安全威胁归根到底是来自企业内部员工的违规行为(不管是有意还是无意),因此,安全防范的重点是对用户行为的管理、约束和监控。用户身份认证是保证信息安全的最重要一道防线。用户身份认证用于解决用户的物理身份和数字身份相对应的问题,从而为其他安全管理系统提供权限管理的依据。如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立的再坚固安全防范体系都形同虚设。通过可靠的身份认证机制,以用户为对象制定信息安全保护策略,针对每个用户采取权限管理[1]、角色定义、系统跟踪日志等安全措施,才有可能为企业的建立一个安全的信息防泄漏系统。
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,具有不可复制性,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法或系统自定义加密算法实现对用户身份的认证。
2.3数据加密
对数据进行加密保护的目的是防止组织内部的用户“故意”或者“由于疏忽”导致信息通过内网或外网的泄漏。由于现在企业重要的资料文件大部分都以电子文档形式的存在,通过采用过程强制加密技术对企业电脑上的文件进行强制自动加密,使得加密后的图纸文件和文档文件离开企业电脑无法使用,这样就将企业中的一些核心数据牢牢限定在了本企业这样一个内部环境中,保证企业中一些核心数据的安全性。
3 系统设计与实现
在计算机技术、网络技术、分布式数据库技术等先进技术飞速发展的背景下,要采用先进的设计思想,同时在开发上充分考虑系统的可用性和安全性。系统的设计应具有合理性、安全性和稳定性,并方便以后的管理、维护和扩展。
通过客户机/服务器结构体系把客户机/服务器以及PC计算模式集成为一体的网络分布式应用体系结构,在这种结构中,数据处理被分割为在客户机上运行的部分(前台)和在服务器上运行的部分(后台),数据处理由客户机启动并部分控制,由服务器和客户机协同执行一个任务直到成功,能够充分利用集成于Windows平台之上的各种功能特性,满足对于用户界面、浏览、各种业务处理及数据存储等现代分布式应用的需求。因此,系统宜采用成熟、稳定的Client/Server体系结构[2]。整个系统由数据库服务器、管理控制台、客户端三层架构组成,数据库系统采用双层结构[3],不设中间层,因此响应速度快,保证了客户端及管理控制台与数据库服务器的快速数据通讯。
数据库服务器端:作为整个系统的数据中心,负责实现对系统中各种数据和信息的存储、备份及管理,采用MS SQL Server 2000/2005数据库系统。主要作用是从管理端接收系统管理员的设置信息,再分发到客户端上进行实现。
管理控制台:通过管理控制台,系统管理员对安装有客户端系统的整个网络范围内的计算机和用户进行集中管理,主要包括VLAN规划、地址管理、远程监控、设置管理策略、分发管理策略等。
客户端:客户端部署在企业用户计算机上,系统管理员通过管理控制台对客户端进行管理及保护策略,以实现企业用户计算机的集中管理和保护,客户端通过结合硬件的用户身份识别系统对计算机进行登录保护。部署在企业用户计算机上的客户端程序具有不可删除性,即用户在没有得到系统管理员授权时不能对客户端程序进行卸载或停止运行。同时对于离线用户来说,预先设置管理的策略将继续执行,并不会因为用户计算机断线而脱离防护。
按照系统层次结构设计的要求,首先要实现基于MAC地址的网络安全管理。网络管理模块的主要功能是按企业机构设置进行网络(VLAN)规划和计算机分配,采用基于MAC地址的地址绑定技术,将每台工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理,并实现网络管理策略的自动分发和网络远程维护和监控功能。
以用户身份认证为主要内容的用户桌面保护的主要功能是对企业用户按所属机构、部门进行管理,采用双因子身份认证的安全登录机制,通过为用户设置属性、安全权级等安全策略[4],结合客户端系统实现用户安全登录,保证用户身份验证的真实性。
图1给出了除数据加密外的系统主要功能模块(包括子模块)的名称和层次关系结构。
图1 系统主要模块设计
数据的加密存储与访问模块是相对独立的一个功能模块。重点是实现数据信息的强制过程加密,使得加密后的数据文件离开企业电脑后无法被访问和使用。由于数据加密是一个独立的技术领域,市场上已有较成熟的过程加密产品可供企业选用,如上海网伦的加密王软件等。
4 结束语
对于企业的网络信息安全保护体系的构建,要从网络安全管理层面做起,重点解决用户身份认证环节和用户权限管理环节的问题,同时采用数据文件的加密存储技术,来确保存储在企业计算机及网络中的数据只能够在企业内部被有权操作的用户访问。
参考文献:
[1]陈锦刚,顾利岷,谢剑英.管理信息系统权限管理的探讨与实现[J].计算机工程,2000,2(3):22~23.
[2]刘玉莎,张晔.基于C/S模式的安全体系方案[J].微计算机应用,1999,12(03):10~12.
[3]李石山.信息开发系统中的数据库设计[J].辽宁工程技术大学学报,2001,8(19):14~15.
[4]李孟珂,余祥宣.基于角色的访问控制技术及应用[J].计算机应用研究,2000,8(10):14~15.
关键词:网络管理;信息保护;身份认证
中图法分类号:TP3 文献标识码:A
Design of the Business Network Information Security System
CHEN shao-jun,ZHANG Lei
(Xinxiang College,Henan Xinxiang 453000)
Key words: network management;information protection;identity authentication
数据信息是企业的重要资源,它甚至是一个企业生存的关键,计算机和网络本身并没有给企业提供一个足够安全的环境来保障企业内部数据的安全。企业的内部信息系统(如ERP系统、OA系统等)都需要在一个安全、稳定的网络平台上运行,而网络管理及信息安全保护恰恰也是容易被企业所忽视的一个环节。当前,我国企业的信息化建设快速发展与企业网络信息安全管理的相对滞后已形成一个亟待解决的突出矛盾。要保证企业数据信息不被剽窃、篡改、复制,必须妥善处理基于计算机和网络的数据和文件的安全保护问题,将网络安全管理和桌面信息安全防护有机结合起来,才能有效增强企业ERP和OA等信息系统的安全性,给企业的信息数据提供足够的安全保障。企业内部网络管理及信息安全保护作为企业信息化建设的重要一环,对提高企业生产效率,保护企业秘密,促进企业发展有着非常现实和重要的意义。
1 企业网络信息安全的现状
随着企业网络信息化建设的不断推进,各种数据信息在企业整个业务过程中起着至关重要的作用,信息数据的安全和保密性也成为了至关重要的问题。企业因信息被窃取所造成的损失超过病毒破坏和黑客攻击所造成的损失,各种重要数据、文件的滥用、丢失、被盗所造成的损失以亿计。
通过对当前信息安全系统的反思,造成这一情况的一个重要的原因,就是信息安全假设不对头,传统的安全保护产品如:杀毒软件、计算机口令、软加密、加密狗等产品都是对计算机和网络部分安全的保护。防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议;入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道,供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段;安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理,而没有解决用户的物理身份和数字身份相对应的问题,即缺乏为这些安全系统提供权限管理的依据。传统的安全保护产品只是解决了防止外部人员非法访问的问题,不能解决内部人员通过电子邮件、移动硬盘或笔记本电脑把电子文档进行二次传播的问题。
因此,企业对信息安全保护系统的要求是多方面、多层次的,企业所需要的是建立一个从内到外的多层次的信息安全保护体系,将被动防御与主动保护相结合,最终实现对企业机密信息的全方位保护。
2 系统设计目标及层次结构分析
建立企业网络信息安全保护体系的目的是要保证存储在企业计算机及网络中的数据只能够被有权操作的用户访问,防御来自企业内部及外部的各种安全威胁,防止企业数据被非法窃取。完整的企业网络信息安全保护体系应至少包括自下而上依次为:“网络安全管理”、“用户身份认证”、“数据加密保护”三个安全保护层次。
2.1网络安全管理的目标和内容
由于计算机网络是企业其它信息管理系统赖以运行的基础,没有网络的安全,其它任何有效的管理和保护措施就无从谈起。大多企业都重视提高企业网的边界安全,但是很多企业网络的核心内网还是非常脆弱的。网络边界安全技术主要是防范来自公共的网络(Internet)攻击。而内网安全的威胁不同于网络边界的威胁,内网安全威胁主要源于企业内部。应在边界展开黑客防护措施的同时,建立并加强内网安全防范策略。
网络安全管理应为企业提供一个健壮、安全的内部计算机网络环境。网络安全管理的目标在于在提高企业内部网络运行效率,有效管理和分配内部网络资源,对网内的用户计算机进行集中管理,简化系统管理员对企业用户的计算机和网络维护管理,减少企业信息部门的呼叫服务,减少企业的网络维护成本。管理范围包括基于网络管理策略的网络自动维护、防止企业用户更改IP地址和计算机名、防止计算机非法联入互联网、对企业信息存储系统的访问控制、网内计算机系统软硬件配置的监控等。
网络安全管理的内容包括:网络规划与地址管理、网络管理策略与分发、网络远程监控与维护、入侵监测与安全预警。主要功能是按企业机构设置进行网络(VLAN)规划和计算机分配,采用基于MAC地址的地址安全绑定技术,将每台工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理,并实现网络管理策略的自动分发和网络远程维护和监控功能。
2.2用户身份认证
企业内部的信息安全威胁归根到底是来自企业内部员工的违规行为(不管是有意还是无意),因此,安全防范的重点是对用户行为的管理、约束和监控。用户身份认证是保证信息安全的最重要一道防线。用户身份认证用于解决用户的物理身份和数字身份相对应的问题,从而为其他安全管理系统提供权限管理的依据。如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立的再坚固安全防范体系都形同虚设。通过可靠的身份认证机制,以用户为对象制定信息安全保护策略,针对每个用户采取权限管理[1]、角色定义、系统跟踪日志等安全措施,才有可能为企业的建立一个安全的信息防泄漏系统。
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,具有不可复制性,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法或系统自定义加密算法实现对用户身份的认证。
2.3数据加密
对数据进行加密保护的目的是防止组织内部的用户“故意”或者“由于疏忽”导致信息通过内网或外网的泄漏。由于现在企业重要的资料文件大部分都以电子文档形式的存在,通过采用过程强制加密技术对企业电脑上的文件进行强制自动加密,使得加密后的图纸文件和文档文件离开企业电脑无法使用,这样就将企业中的一些核心数据牢牢限定在了本企业这样一个内部环境中,保证企业中一些核心数据的安全性。
3 系统设计与实现
在计算机技术、网络技术、分布式数据库技术等先进技术飞速发展的背景下,要采用先进的设计思想,同时在开发上充分考虑系统的可用性和安全性。系统的设计应具有合理性、安全性和稳定性,并方便以后的管理、维护和扩展。
通过客户机/服务器结构体系把客户机/服务器以及PC计算模式集成为一体的网络分布式应用体系结构,在这种结构中,数据处理被分割为在客户机上运行的部分(前台)和在服务器上运行的部分(后台),数据处理由客户机启动并部分控制,由服务器和客户机协同执行一个任务直到成功,能够充分利用集成于Windows平台之上的各种功能特性,满足对于用户界面、浏览、各种业务处理及数据存储等现代分布式应用的需求。因此,系统宜采用成熟、稳定的Client/Server体系结构[2]。整个系统由数据库服务器、管理控制台、客户端三层架构组成,数据库系统采用双层结构[3],不设中间层,因此响应速度快,保证了客户端及管理控制台与数据库服务器的快速数据通讯。
数据库服务器端:作为整个系统的数据中心,负责实现对系统中各种数据和信息的存储、备份及管理,采用MS SQL Server 2000/2005数据库系统。主要作用是从管理端接收系统管理员的设置信息,再分发到客户端上进行实现。
管理控制台:通过管理控制台,系统管理员对安装有客户端系统的整个网络范围内的计算机和用户进行集中管理,主要包括VLAN规划、地址管理、远程监控、设置管理策略、分发管理策略等。
客户端:客户端部署在企业用户计算机上,系统管理员通过管理控制台对客户端进行管理及保护策略,以实现企业用户计算机的集中管理和保护,客户端通过结合硬件的用户身份识别系统对计算机进行登录保护。部署在企业用户计算机上的客户端程序具有不可删除性,即用户在没有得到系统管理员授权时不能对客户端程序进行卸载或停止运行。同时对于离线用户来说,预先设置管理的策略将继续执行,并不会因为用户计算机断线而脱离防护。
按照系统层次结构设计的要求,首先要实现基于MAC地址的网络安全管理。网络管理模块的主要功能是按企业机构设置进行网络(VLAN)规划和计算机分配,采用基于MAC地址的地址绑定技术,将每台工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理,并实现网络管理策略的自动分发和网络远程维护和监控功能。
以用户身份认证为主要内容的用户桌面保护的主要功能是对企业用户按所属机构、部门进行管理,采用双因子身份认证的安全登录机制,通过为用户设置属性、安全权级等安全策略[4],结合客户端系统实现用户安全登录,保证用户身份验证的真实性。
图1给出了除数据加密外的系统主要功能模块(包括子模块)的名称和层次关系结构。
图1 系统主要模块设计
数据的加密存储与访问模块是相对独立的一个功能模块。重点是实现数据信息的强制过程加密,使得加密后的数据文件离开企业电脑后无法被访问和使用。由于数据加密是一个独立的技术领域,市场上已有较成熟的过程加密产品可供企业选用,如上海网伦的加密王软件等。
4 结束语
对于企业的网络信息安全保护体系的构建,要从网络安全管理层面做起,重点解决用户身份认证环节和用户权限管理环节的问题,同时采用数据文件的加密存储技术,来确保存储在企业计算机及网络中的数据只能够在企业内部被有权操作的用户访问。
参考文献:
[1]陈锦刚,顾利岷,谢剑英.管理信息系统权限管理的探讨与实现[J].计算机工程,2000,2(3):22~23.
[2]刘玉莎,张晔.基于C/S模式的安全体系方案[J].微计算机应用,1999,12(03):10~12.
[3]李石山.信息开发系统中的数据库设计[J].辽宁工程技术大学学报,2001,8(19):14~15.
[4]李孟珂,余祥宣.基于角色的访问控制技术及应用[J].计算机应用研究,2000,8(10):14~15.