钢铁企业怎样构建ERP等信息化安全体系

1 计算机安全的意义

    在计算机网络高速发展和Intemet广泛普及的今天，信息已经成为现代社会生活的核心：各大钢铁企业也都建立了自己的局域网系统，建设了各项信息化系统，如：ERP、OA系统等，而且通过各种方式与互联网相连。网络信息系统已经成为企业生产、办公和企业发展的重要手段。随之而来的计算机信息安全问题也日益重要。不仅影响公司网络的使用进而会窃取企业的重要信息。

    国际标准化组织(ISO)将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。

2 企业信息安全的主要因素

    (1)操作系统本身的问题。目前企业中使用的操作系统均存在安全漏洞，如uNIx，Knux和 Windows系统，特别是微软的Windows系列，每月都在发布系统漏洞补丁。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面：1)稳定性和可扩充性方面，由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。2)网络硬件的配置不协调。一是文件服务器，它是网络的中枢，其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视，设计和选型考虑欠周密，从而使网络功能发挥受阻，影响网络的可靠性、扩充性和升级换代；二是网卡用工作站选配不当导致网络不稳定，缺乏安全策略。3)许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用。4)访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机。

    (2)来自企业内部网用户的安全威胁。来自内部用户的安全威胁远大于外部网用户的安全威胁，使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失，管理制度不健全，网络管理、维护任在一个安全设计充分的网络中，人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限，利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏，磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，内部人员有意无意的泄漏给黑客带来可乘之机等，都可能使网络安全机制形同虚设。

    (3)缺乏有效的手段监视及安全性评估系统。完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估，并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查，查找其中是否有可被黑客利用的漏洞，对系统安全状况进行评估、分析，并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。

    (4)黑客的攻击手段在不断地更新。几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

    (5)网络病毒的入侵。对于网络蠕虫病毒和木马病毒，网络用户防不胜防，新的病毒变种层出不穷，即使安装上杀毒软件也不能完全确保病毒不会感染。另外还有些用户在使用的过程中根本不注意防病毒系统的更新和使用，也没有起到应有的作用。

3 企业信息安全的防范措施

    如何才能使我们的网络百分之百的安全呢？对这个问题的最简单的回答是：不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看，网络安全不仅是技术问题，更是一个管理问题，它包含管理机构、法律、技术、经济各方面。我们应该从提高网络安全技术和人员素质人手。

    (1)依法培训。依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》，我公司建立健全了各种安全机制、各种网络安全制度，包括《企业信息安全管理制度》、《信息安全应急预案》等，加强人员网络安全教育和培训，在各二级单位设立信息安全管理员，定期对其进行技术培训。

    (2)网络病毒的防范。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。利用基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。在互联网相连的网络出口，需要安装部署防病毒网关系统，加强上网计算机的安全，过滤外部网络的病毒和垃圾邮件。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，及时为每台客户端计算机打好补丁，加强日常监测，使网络免受病毒的侵袭。

    (3)配置防火墙。利用防火墙，在网络通信时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Intemet上的不安全因素蔓延到局域网内部，根据不同网络的安装需求，做好防火墙内服务器及客户端的各种规则配置，更加有效利用好防火墙。

    (4)用户上网管理系统。在防火墙内部加入Internet上网管理系统，利用分组策略和上网的端口策略等，加强用户的上网管理，限制访问非法和不安全的网站，确保内网用户的安全。上网管理系统有透明模式和代理模式，可以根据网络的不同需要来配置。还可以在管理系统中对www、Email、FIP、Telnet应用的内容进行监控，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全管理部门报告，采取措施。

    (5)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。企业网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系，还可以同防火墙进行联动设置。

    (6)漏洞扫描系统。解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

    (7)IP盗用问题的解决。IP地址的盗用和ARP病毒的冲击同样有危害性，我们在核心路由器上捆绑 IP和MAc地址。当某个IP通过路由器访问hternet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。

    (8)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。

    (9)部署强制性网络管理软件管理客户机。强制在公司内网上的每台计算机安装强制性管理软件客户端，加强企业内部计算机的使用管理。网络管理软件具有以下功能：终端客户机的管理，软件的自动下发和升级；客户机的交互式管理；客户机的进程管理；客户机的IP 地址管理；计算机资产管理；网络准人控制；网络流量统计包括：流量分布图、流量时间分布图和流量分析图；ARP攻击报警，ARP病毒的彻底防范功能等。

4 结束语

    网络信息安全与网络的发展息息相关。网络信息安全是一个系统的工程，不能仅依靠杀毒软件、防火墙、漏洞检测等硬件设备的防护，还要意识到计算机网络系统是一个人机系统，安全保护的对象是计算机，而安全保护的主体则是人，应重视对计算机网络安全的硬件产品开发及软件研制，建立一个好的计算机网络安全系统，也应注重树立人的计算机安全意识，才可能防微杜渐，把可能出现的损失降低到最低点。

    本文来自星烛网（http://www.xingzhu.net.cn）,我们专注于中小企业信息化，为中小企业提供 CRM OA ERP SAAS 供应链管理 进销存等WEB版软件.