企业信息系统安全对策.docVIP

企业信息系统安全对策 　　摘 要：随着信息技术的高速发展，企业在享受信息化带来便利的同时也面临着信息的安全问题。本文提出了企业信息系统的安全升级改造的具体措施。 　　关键词：信息系统 安全 措施 　　1 网络系统现状 　　企业目前的网络现状是：整个企业的业务支撑系统服务器及数据存储设备都集中在总部。总部及所在地13个分支机构，传输线路是光缆；异地分支机构采用软件VPN实现企业互联。本地网络是点对点的星型结构，总部单核心交换机设备，光缆在同一网管，经常因光缆的原因造成网络中断，线路改造势在必行。异地VPN网络，用Cisco pix525用作VPN设备，异地分支机构客户端用Cisco system client 4.0.5连结到公司内网。企业业务支撑系统与业务数据地公司信息中心，没有备份与异地备份。针对企业信息系统的现状，迫切需要提高企业信息系统安全与可靠性。 　　2 对策 　　企业信息系统的安全涉及到网络的可用性、完整性和保密性，信息系统中的资源不受自然和人为的有害因素的威胁和危害。企业信息安全也采用数据加密、身份认证、防火、IDP等技术。 　　根据集团公司信息系统现状，主要采取以下措施：本地光纤自愈环；核心交换机及出口防火墙冗余、业务支撑数据及系统异地备份，制定严格的数据备份与存档制度，异地VPN采用IPSec VPN策略，最终实现提高企业信息系统安全的目标。 　　2.1 传输线路改造 　　传输线路的改造是这次企业信息系统安全升级的前提，只有线路传输系统可靠、稳定，业务运营支撑系统才能正常运转。利用现有的光缆及SDH技术实现了环网自愈，实现了2.5GPP环，环网除了提供企业内正常的业务运营，利用SDH设备CPOS接口实现E1的绑定，为供集团公司安全生产监控系统、货运地磅系统组成专网，与公司内部所有网络隔离，只有调度室人员及少数分管领导可以使用，数据集中放在企业信息中心。SDH系统的CPOS接口可以根据生产网视频流量及地磅系统业务量的需要分配带宽，改造后的网络传输系统满足了企业对安全生产的实时监控，企业真正把安全放在第一位。 　　总部中心机房的核心交换机原有1台CISCO 6500，存在单点故障，曾经发生过6500电源故障，导致整个集团公司网络瘫痪，本次安全改造升级中新加1台CISCO 6500交换机，利用CISCO 的HSRP技术做双机，既消除单点故障又实现了负载匀衡。 　　核心路由器原有一台NETSCREEN ISG-2000，再增加一台JUNIPER SRX3400，由于设备型号不同不能做双机热备。为了防止设备故障造成的网络故障，我们采用两台设备做相同的功能配置，利用设备端口的冗余，实现故障时手动切换。 　　2.2 服务器升级改造 　　在这次信息系统的安全升级改造中，对企业集团业务支撑系统的服务器作了重大改造。原系统设备：服务器IBM 346，存储NetGear ReadyNAS 1100 2T的容量，升级为两台IBM X3850，再增加一台NAS，形成双服务器、双NAS的结构。设备分别放置在信息中心机房大楼和总部办公楼，实现了业务支撑应用系统、应用数据的容灾备份。设备的完善很重要，但是规范的制度同样很重要，我们制定的详细磁带及光盘备份策略，制定维护人员巡视制度及进出机房登记制度。科学的管理与网络设计保证企业数据的安全、可靠、可用，保障业务不间断。集中通一的数据管理，保证数据的共享，有利于数据维护、备份。 　　传输线路、核心交换设备、防火墙及应用系统服务器的冗余，为整个集团公司信息系统安全、可靠的运行提供了有条件与保障。 　　传输线路及硬件设备冗余是企业信息系统能可靠运行的基础，网络安全则保证企业信息不被攻击，企业信息资源不被非法使用和访问，保护网内流转的数据安全，网络安全我们采用的是“由外到内”及分级的策略。 　　2.3 设置防火墙 　　防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击。企业Internet出口防火墙NetScreen ISG-2000及Juniper SRX3400关闭所有不允许的端口及服务，配置DMZ区。集团公司对外服务器都放在DMZ区中，如Web 服务器、Mail服务器等对外业务。企业内部业务支撑系统、 OA服务器及FTP服务器直连在核心交换机，双网卡同时与两台6500互连保证业务系统不间断运，防止外网用户的恶意访问。 　　内部用户按部门、业务不划分，分别划入不同的VLAN访问不同的资源与业务。从逻辑上保证不同的用户只能访问相应的企业信息资源，不被授权的用户不能进入该网络。VLAN的划分缩小广播域，