物流信息平台网络安全探究.docVIP

物流信息平台网络安全探究（黄河科技学院，郑州 450063） 摘要：物流信息平台网络安全保密问题主要存在于建设、应用和管理三个方面,可通过实施各种安全技术和管理方法，形成一个相对安全保密的网络环境。 关键词： 物流；信息平台；网络安全 0引言 随着现代物流的发展，物流信息平台是一个涉及到多个复杂集成模块和众多供应链成员企业商业机密的复杂系统，任何一个安全漏洞都可能使物流企业信息平台受到致命的打击，安全问题不容忽视。 结合网络环境和具体应用分析，物流信息系统可能存在的安全威胁主要有：非授权访问、假冒和抵赖、遭受拒绝服务的攻击、恶意代码、破坏信息完整性、电磁泄漏、窃取、通信业务流分析、破坏网络的可用性、操作失误、自然灾害和环境事故。因此，安全设计可分为以下几个系统：防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、网站保护系统、安全审计系统、安全集成监控与管理系统。物流信息安全措施结构如图1所示。 1总体设计 在整个网络中各主要服务器组成的服务器群是整个网络的信息核心，是重点保护对象。服务器区的数据信息应具有高强度的安全性，文件的防病毒破坏等功能；安装网管软件对各服务器集中管理；在进入中心网络的服务器到交换机的链路上放置防火墙，进行安全访问的控制和隔离；在关键网段放置IDS探测引擎，所有的IDS探测引擎通过统一的控制中心进行管理控制，实时监控网络传输，自动检测网络行为，分析来自内网的进行网络的入侵检测和预警；在价格监测预警中心设置防病毒系统管理中心，用于局域网内部用户的病毒保护。通过统一平台的管理，进行全网病毒策略的控制和病毒库的随时更新；通过中心放置的漏洞扫描系统，进行中心的漏洞检测；在关键WWW服务器上配置网站保护系统，实现对网站、网页的安全保护。利用信息安全岛实现内部网络与网站系统的信息交换与物理隔离。 1.1 防火墙系统设计采用防火墙技术实现全网的安全访问控制策略；访问控制的原则是必须缺省禁止，即凡是没有被明令允许访问一律禁止。 外部防火墙或边界路由器过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；内部路由器或防火墙过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。 要在坚持隔离的前提下保证网络畅通和应用透明，网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换，数据交换的关键点，因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换，配合防火墙的安全技术。 1.2 入侵检测系统设计入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测系统的设计结合现有的网络结构，在关键网络区域部署入侵检测探测引擎。探测引擎通过入侵检测控制中心进行统一管理和控制。通过对整个网络的多层保护，根据收集到的安全相关的事件，利用中心分析引擎，在线或离线地分析出即将发生或已经发生的入侵行为。在防火墙划分后的安全区域内、门户网站的服务器区域分另部署署入侵探测引擎，实现对关键服务器访问的有效检测。监测预警中心网络中的所有关键服务器通过核心交换机进行网络的数据交换，通过在核心交换机上分别部署百兆级别的入侵探测引擎，实现所有用户对关键服务器访问和数据库操作的有效检测。 1.3 漏洞扫描系统设计设置安全控制中心，安装漏洞扫描软件，定期对网络进行漏洞扫描和安全评估，发现并报告系统中存在的弱点和漏洞，评估安全风险，建议补救措施。网络漏洞扫描器执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测，从而识别能被入侵者利用非法进入网络的漏洞。 1.4 防病毒系统设计防病毒系统设计将采用集中控制和多层防护策略，集中控制是指网络中心对部门工作站的病毒防护工作进行集中控制。多重防护是指从网络中心到各部门层层设防，防止病毒的传播和扩散。在所有的服务器、PC机以及电子邮件服务器、防火墙、网关上安装防病毒软件，对磁盘、可移动磁盘、光盘以及网络所收发文件和电子邮件的附件进行防护。制定管理措施：集中安装、统一策略配置；集中定期检查，远程控制；统一升级；病毒事件应急响应；拒绝使用手提电脑上网；安全培训。 1.5 网站保护系统对网站系统的保护则通过部署相应的产品以达到对网站系统的全面防护。采用实时扫描技术实现网页防篡改。在关键的WWW服务器上部署网站保护系统，实现对网站、页面的防护；分配不同的权限，从内部保障网站的安全；提供日志管理功能，记录所有对网站指定部分的合法或非法修改，便于实时监控和事后审核、跟踪；系统分监测端和远程控制端两部分组成；提供完善