◆曹慶年 艾長春

（西安石油大學 陜西 710065）

基于企業(yè)信息系統(tǒng)的網絡安全研究

◆曹慶年 艾長春

（西安石油大學 陜西 710065）

隨著社會和經濟的快速發(fā)展，我國網絡技術也得到了空前的發(fā)展，隨之而來的網絡安全問題也嚴重影響著人們的生產生活。本文從企業(yè)的信息系統(tǒng)入手，主要介紹了當前企業(yè)信息系統(tǒng)的基本情況，并分析及探討了當前企業(yè)信息系統(tǒng)所面臨著的網絡安全問題，最終提出了一些構建網絡安全防護體系的建議，以期為今后相關工作提供一定的參考。

企業(yè)信息系統(tǒng)；網絡安全；防護技術

0 引言

當前信息化時代中，信息技術已經被廣泛應用與各行各業(yè)中。為了能夠讓企業(yè)在激烈的市場競爭中獲得長足的發(fā)展，一些企業(yè)已經積極建立起自己的網絡系統(tǒng)[1]。因此，企業(yè)的整體運作已經極度依賴于信息系統(tǒng)之中，主要包括企業(yè)業(yè)務的發(fā)展及往來、企業(yè)內部工作的調配及項目的完成等等。除此之外，通過信息系統(tǒng)的這一平臺，企業(yè)可以通過互聯(lián)網進行相關信息的交流或共享，極大提高了企業(yè)在自我創(chuàng)新及績效上升的空間。然而，在信息系統(tǒng)平臺為企業(yè)工作及發(fā)展帶來的極大便利的同時，其存在的網絡安全問題也在時刻威脅著企業(yè)的良性發(fā)展，因此，加強企業(yè)信息系統(tǒng)的網絡安全，已經成為當前企業(yè)發(fā)展過程中最值得重視的一大問題，也是實現(xiàn)企業(yè)可持續(xù)發(fā)展的基礎。

1 企業(yè)信息系統(tǒng)當前存在的安全隱患

一般來說，企業(yè)信息系統(tǒng)的安全隱患主要存在以下兩大問題，即信息安全問題及網絡安全問題[2]。其中，信息安全包括企業(yè)在整體運行過程中所產生的相關數(shù)據(jù)信息的安全，包括對于重要商業(yè)信息的保密及儲存安全等，其主要面臨著信息數(shù)據(jù)的盜取、黑客入侵及攻擊、非法訪問或數(shù)據(jù)損壞等安全威脅；網絡安全則是指信息系統(tǒng)中相關應用軟件及機械硬件的安全，軟件和硬件的損壞或電腦病毒的感染等問題都將威脅著信息系統(tǒng)的網絡安全。這兩方面的安全問題，都極大影響著企業(yè)信息系統(tǒng)的整體安全性和穩(wěn)定性。

2 企業(yè)信息系統(tǒng)的網絡安全防護技術

當前，為了應對這種信息安全及網絡安全問題的發(fā)生，已經形成了某些有效的網絡安全防護技術，以保障企業(yè)信息系統(tǒng)的基本安全。

2.1 防火墻技術

一般情況下，企業(yè)的信息系統(tǒng)是基于內網而建設的，即只能在企業(yè)內部供內部人員使用。這樣一來，在內網及外網之間建立起一個安全防護技術，將對阻隔外網入侵的安全威脅具有十分重要的意義，這類阻隔技術即為防火墻技術[3]。從本質上來說，這種防火墻技術是根據(jù)其特殊的硬件及軟件設備，形成的一種對內網進行訪問控制的防護機制。其主要的工作原理為，利用某些過濾技術，將從外網進入的數(shù)據(jù)信息流進行相關過濾處理，以這種“墻”的阻隔方式，將外網向內網傳遞的通信隱患完全隔離。

防火墻的防護技術在當前企業(yè)信息系統(tǒng)網絡安全管理中占據(jù)著很大比例，其主要被設置在企業(yè)信息系統(tǒng)的服務器前端，并且，通過相關維護及技術人員進行專業(yè)的維護和管理工作。在防火墻投入使用之前，管理人員還需對其進行一些基礎的設置，例如防火墻的工作模式、防火墻的網絡接口等等。而維護管理人員應當根據(jù)企業(yè)的實際應用要求及情況，來決定使用哪種防火墻的工作模式，Drop-InMode模式適用于沒有設置內網的企業(yè)網絡環(huán)境，而RoutedMode工作模式則適用于使用內網的企業(yè)，因此，一般是以選擇RoutedMode的工作模式為主。此外，在對防火墻進行接口的設置之后，還要對其進行之后的一系列基礎設置，最終需要通過 GUI程序讓企業(yè)信息系統(tǒng)網絡與防火墻進行成功的連接。

2.2 NAT技術

NAT技術即網絡地址轉換技術，其主要防護功表現(xiàn)在：通過一個NAT的專有軟件，將企業(yè)內部的某些私有IP地址進行隱藏，并轉化為一個或有限個數(shù)的公有 IP地址，進而通過隱藏了真實的企業(yè)IP地址而對其進行安全性能的保護[4]。而NAT的轉換技術可以包括靜態(tài)轉換技術、動態(tài)轉換技術和端口多路復用技術等。相比較而言，靜態(tài)轉換技術具有設置簡單、操作方便的主要優(yōu)勢，通過 NAT技術的靜態(tài)轉換，可以將企業(yè)信息系統(tǒng)的內部網絡中的所有主機都能夠被永久的轉換為外部網絡的某一公共的、合法的 IP地址，這樣一來，可以為企業(yè)節(jié)約大量地址注冊資源，同時還可以為 IP地址的重疊提供有效的解決方案，以進一步提高網絡使用的靈活性和安全性。

2.3 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是一種防火墻的補充解決方案，即對網絡傳輸?shù)膶嵤┬员O(jiān)視，對可疑的信息發(fā)出警報或者進行主動防御的一種網絡安全設備的?？梢杂脕矸乐咕W絡設備即路由器、交換機以及網絡帶寬乃至服務器（主要是操作系統(tǒng)和應用層）受到的DoS攻擊[5]。一般先進的IDS設備包含兩個部分：一個是用來保護的IDS，一個是保護服務器以及應用運行的主機IDS。所以說IDS是一種積極主動的安全防護技術，當然也存在其自身的缺點，如對自身攻擊的保護，對數(shù)據(jù)的檢測，會影響其他傳輸?shù)臋z測。

檢測技術是基于對各種不同事件的分析，根據(jù)不同的算法發(fā)現(xiàn)違反安全策略的行為。違反安全策略的行為一般由兩類，一類是基于標志的，另一類是異常情況分析?；跇酥镜男枰x哪些是違背安全策略的特征，比如說網絡數(shù)據(jù)包的包頭信息與預設信息不匹配，或者說某些特征數(shù)據(jù)沒有獲取到[6]。異常信息的檢測是需要定義正常的數(shù)值，包含一些CPU、內存的關鍵參數(shù)，最后通過運行的數(shù)據(jù)與設計的正常值比較來發(fā)現(xiàn)非正常的跡象。目前所使用的算法有貝葉斯推理法、模式預測法、統(tǒng)計、機器學習方法、數(shù)據(jù)挖掘法等。

雖然入侵檢測系統(tǒng)有其弱點存在，由于其無須跨接鏈路、流量的優(yōu)點使得它的應用變得越來越廣泛。

2.4 身份認證技術

身份認證技術是網絡安全中確認操作人員身份的一種方式，計算機對操作者的確認僅僅是一組特定的數(shù)字，只要是識別到這組特殊的身份數(shù)字，計算機就對該操作者授權，所以身份認證技術是網絡安全的第一道關卡，有著非常重要的作用。

目前主流的身份認證技術有四種，用戶名以及秘鑰，生物識別特征技術，數(shù)字簽名證書，動態(tài)口令。用戶名以及秘鑰技術可以是靜態(tài)密碼，登錄時輸入密碼，可能會面臨這離線字典的破解方法，安全性不是很高。生物特征識別則是對生物本身獨一無二特征數(shù)據(jù)存取的校驗如指紋、虹膜、語音、DNA等。數(shù)字簽名則是一種哈希算法的加密技術，利用公私鑰的計算匹配技術，強依賴與數(shù)字可分解難度。動態(tài)口令是一種較為安全可靠的認證方式，根據(jù)時間，不同的時間密碼不同，可以有效抑制暴力破解技術，超過時間密碼會改變，服務器和終端兩端的密碼同時改變保證了安全性，目前比較常用，如銀行使用的USBKEY，智能卡等設備。

3 結語

除了以上幾種網絡安全防護技術之外，還包括防病毒技術以及數(shù)據(jù)備份技術等已經被普遍使用的防護技術，其主要目的都在于對企業(yè)信息系統(tǒng)的網絡安全進行不同層面上的保衛(wèi)及防護?？偠灾?，這類信息安全技術越發(fā)達，對于企業(yè)項目推進、內部交流及整體發(fā)展都會起到堅實的保障作用。

[1]顧建強，梅姝娥，仲偉俊.基于網絡安全保險的信息系統(tǒng)安全投資激勵機制[J].系統(tǒng)工程理論與實踐，2015.

[2]汪蘭英.船載電子信息系統(tǒng)的計算機網絡安全可靠性分析[J].艦船科學技術，2016.

[3]程慶梅.軟件定義網絡技術在職業(yè)院校信息化網絡安全管理中的研究和應用[J].中國職業(yè)技術教育，2015.

[4]楊云雪，魯驍，董軍.基于企業(yè)環(huán)境的網絡安全風險評估[J].計算機科學與探索，2016.

[5]王繼斌，劉環(huán)鵬.醫(yī)院信息系統(tǒng)內網終端安全管理研究[J].信息技術，2016.

[6]李濤，張馳.基于信息安全等保標準的網絡安全風險模型研究[J].信息網絡安全，2016.