制药企业网络系统安全架构设计.docVIP

制药企业网络系统安全架构设计 　　【摘 要】本文以制药企业网络安全需求为依据，从网络平台、防毒系统、数据管理等方面入手，设计了多元化的网络系统安全架构，为实现企业网络安全提供了技术与方法。 　　【关键词】制药企业 网络系统 网络安全架构 网络设计 　　随着数字化和信息化进程的不断加速，企业网络规模和应用范围日益扩大。制药企业作为技术密集型企业，多以精深工艺、提升品质、加强管理为目的，建立了由ERP、电子商务、Web网站、OA构成的网络系统。目前，网络已应用于制药企业各个事务层面，因此网络安全尤为重要，必须建立多层次的安全体系架构，作为企业网络系统的基础保障。 　　一、安全架构设计要点 　　（一）多元线程。安全架构分为“预防”、“治理”、“巩固”三个线程。“预防”是通过Windows Server Update Services更新服务，及时修补内网终端与服务器的系统漏洞。“治理”是针对不同的安全威胁进行防护。对于病毒威胁和黑客入侵，进行软硬件联合防御。“巩固”是保存完整网络日志，有科学的备份策略，对终端计算机的严格管理，保证终端安全。 　　（二）立体布局。安全架构设计要兼顾物理层、链路层、网络层和应用层，形成立体化的防护布局。以安全域来划分为主线，同一安全域共享公用的信息资源、安全基础设施、网络基础设施等。 　　（三）系统管理。安全架构包括技术层和管理层两方面，必须建立安全管理系统与安全技术相适应。管理系统要求严密的岗位分工，以及日常维护管理制度。一个合理的管理系统能够明确网络边界，增强网络的可控性，实现有计划的访问控制，有效阻止渗透式网络攻击。 　　二、安全架构设计方案 　　（一）网络平台方案设计 　　1.网络结构设计。制药企业的网络设置采用拓扑结构，根据药品的生产、销售、组织、管理等部门分成多个子网，共同构建企业网络平台。在各VLAN之间布置路由，实现各VLAN间的自由互访。但各子网间互访需要进行网络验证，避免某子网的安全威胁获得扩大性传播。 　　2.域管理设计。为实现集中式管理，应在制药企业网络平台布局域管理。域管理可以实现单一账户登录，单节点管理，具有安全便捷的优点。企业内网络终端设备较多，因此要进行网络标签设置，具体规则如下：XX――X――XX，字符分别代表了一定含义，第一段字符代表所属网关，第二段代表部门，第三段代表姓名全拼，唯一的网络标签可以保证定位的速度与精度。 　　3.入侵检测设计。网络入侵检测是通过防火墙和专用软件（IDS）实现的。配置企业级防火墙，可以杜绝内外网间的病毒威胁，提供相对安全的网络环境。而网康、绿盟、安全胄甲等专业入侵检测软件（IDS）则是对防火墙的合理补充，IDS从企业网络中采集关键信息，分析总流量、上传量、ERP等数据变化，自主判断网络中违反安全策略的行为。联合应用防火墙与IDS，可以实时、动态地保护网络平台，扩展系统管理员的安全管理能力，形成完整的网络安全平台结构。 　　（二）防治病毒方案设计 　　1.分布式部署。一般而言，制药企业规模庞大且机构复杂，由多个服务器构成子网，因此在防毒软件的安装方面，要采用分布部署的方法，分地域、分工段、分部门进行配置，并根据企业现有的网络构架，设立多级病毒防治管理中心，负责各自网段的病毒查杀工作。 　　2.网络边缘防护。网络边缘是靠近用户端的网络层面，对其进行病毒防护的方法是在部署好防病毒网关后再连接外网，全面扫描网络后安置硬件防毒墙。建议使用网神、驱逐舰、趋势，瑞星、 MacAfee等品牌防毒墙，针对HTTP、FTP协议进行查杀病毒。再配置一套符合企业网络应用需要的安全策略，控制多项网络端口，填补边缘防护缺口，建立起软硬件相结合的安全屏障。 　　3.防病毒管理。防毒技术是网络安全架构的技术保障，而技术需要管理制度作为保障才能发挥最大效用。制药企业防毒管理制度应包括：强制实施防病毒策略，严肃工作纪律；定期检查硬件防毒墙运行状态，调整工作参数，避免过热过劳运行；定期升级防毒软件病毒库，如有大规模病毒爆发需进行专项治理；加强移动存储介质管理，不使用来源不明的存储介质。 　　（三）数据备份和审计方案设计 　　数据备份和审计是制药企业网络安全架构的重要组件。数据备份的作用是记录各类网络信息，为查找漏洞、排除问题、安全设置提供参考。考虑到制药企业数据备份的规模及对数据安全的要求，可利用IBM公司开发的iSCSI接口，将现有SCSI接口与以太网络结合，实现服务器与IP网络储存装置的资料交换。由于备份管理软件对存储性能有重要影响，应用符合一定技术标准的备份软件，具备快速存取能力、极简管理能力和灾难恢复能力。另外，备份软件要适应当前的网络条件，能同时支持64位和32位WINDOWS系统、UNIX、IOS系统，能在常用系统平台进