基于企业信息系统网络安全研究.docVIP

基于企业信息系统网络安全研究 　　1 引言 　　目前，信息技术在我国取得了高速的发展，各个企业纷纷建立起了自己的信息系统。企业间业务的往来，企业内部项目的完成，无不依赖于信息技术的平台，企业通过互联网将世界各地的信息互联共享，“数字地球”这一提法正是电子信息化广泛应用的形象写照。但是，随着企业信息网络开放性的提高，其安全性已成为不容忽视的重要问题，它是考验网络性能的关键。 　　2 企业信息系统存在的网络安全隐患 　　企业信息系统网络安全主要分为两个层面：即网络安全、信息安全。网络安全主要包括系统软件、应用软件以及硬件平台的安全；信息安全主要是指数据信息的安全，如数据的加密、备份等。目前，企业信息系统网络主要存在的安全威胁有计算机病毒的感染、黑客入侵和攻击、内部用户非法访问、数据意外损坏或丢失等。 　　3 企业信息系统的网络安全防护技术 　　3.1 防火墙技术 　　防火墙处于内网和外网之间，用来执行两网之间的访问控制策略。从本质上来讲，它是一种保护内网安全运行的访问控制技术。它由硬件和软件两部分组成，主要包括包过滤路由器、应用层网关以及电路层网关等，一般在企业信息系统内网服务器前端放置，基主要工作原理是：通过包过滤技术将从内网和外网过来的数据流利用应用层代理的方式进行处理，从而实现内外网之间的安全通信。 　　硬件防火墙是企业信息网络系统中比较常见的，在使用它之前需要进行一些设置，如工作模式的设定、网络接口的设置等。防火墙的工作模式有两个：Drop-In Mode和Routed Mode。前者主要适用于无内网的环境，所以一般选择“Routed Mode”模式。然后进行外部接口、内部接口的设置。完成一系列配置后，便可通过GUI 程序与防火墙相连接了。 　　3.2 NAT 技术 　　NAT技术是一种网络地址转换技术，通过在路由器上这安装NAT软件，在访问外网时，会将企业内部的私有IP地址转换成有限的数个（或一个）公有IP地址，从而隐藏企业内网各个主机的真实IP地址，达到提高网络安全性的目的。NAT技术的实现主要有三种方式：静态转换、动态转换以及端口多路复用。 　　以静态转换为例，通过一段NAT配置代码简述其原理。 　　如图1所示，此企业通过一台路由器（S0为内部端口，S1为外部端口）与外网相连，企业有两台服务器：FTP服务器和Web服务器，供外网用户访问。假如企业申请到四个公网地址（-），可以做如下配置：（ISP端路由器使用） 　　Router（config）#int s0 　　Router（config-if）#ip add 54 　　Router（config-if）#ip nat inside 　　Router（config）#int s1 　　Router（config-if）#ip add 48 　　Router（config-if）#ip nat outside 　　Router（config）#ip nat inside source static 　　Router（config）#ip nat inside source static 　　Router（config）#access-list 1 permit 55 　　Router（config）#ip nat inside source list 1 interface s1 overload 　　Router（config）#ip route 　　通过这样的配置，外部用户在访问企业信息系统时，路由器通过NAT技术将公网IP地址转到内部IP地址，从而对内部服务器进行访问，但外部用户只能看到公网IP地址。 　　3.3 入侵检测系统IDS 　　入侵检测系统（IDS）可以主动防御攻击，与防火墙相配合可以使企业信息系统的安全防御更加完善，在信息系统的网络安全中起着非常重要的作用。IDS一般放置在内网服务器前端，如图2所示，检测器与控制台的设置是入侵检测系统的关键。我们可以在外路由器与外网的连接处，防火墙与管理信息系统（MIS）之间分别设置检测器，在管理信息系统和监控信息系统（SIS）中分别设置检测器；在管理信息系统中设置控制台。然后，为重点服务器、工作站安装入侵检测软件。 　　3.4 身份认证技术 　　身份认证技术是用来对来访用户进行身份验证，从而对不同的用户进行访问控制和记录。为了确保网络的安全，特定的用户只能访问特定的网络资源，这就在一定程度上限制了非法用户的访问，使其无法访问权限以外网络资源。 　　其中指纹加密技术是公认的可靠性强的身份认证技术。其主要原理是：首行在计算机上运用IDEA算法为用户生成一个用户密钥IDEAK，之后将它与用户名及用户指纹信息一起用KDC（密钥分配中心）的公钥EP