企业信息系统安全

更新时间:2024-04-08 作者:用户投稿原创标记本站原创 点赞:32266 浏览:153379

摘 要:随着信息技术的高速发展,企业在享受信息化带来便利的同时也面临着信息的安全问题.本文提出了企业信息系统的安全升级改造的具体措施.

关 键 词:信息系统安全措施

1网络系统现状

企业目前的网络现状是:整个企业的业务支撑系统怎么写作器及数据存储设备都集中在总部.总部及所在地13个分支机构,传输线路是光缆;异地分支机构采用软件VPN实现企业互联.本地网络是点对点的星型结构,总部单核心交换机设备,光缆在同一网管,经常因光缆的原因造成网络中断,线路改造势在必行.异地VPN网络,用Ciscopix525用作VPN设备,异地分支机构客户端用Ciscosystemclient4.0.5连结到公司内网.企业业务支撑系统与业务数据地公司信息中心,没有备份与异地备份.针对企业信息系统的现状,迫切需要提高企业信息系统安全与可靠性.

2对策

企业信息系统的安全涉及到网络的可用性、完整性和保密性,信息系统中的资源不受自然和人为的有害因素的威胁和危害.企业信息安全也采用数据加密、身份认证、防火、IDP等技术.

根据集团公司信息系统现状,主要采取以下措施:本地光纤自愈环;核心交换机及出口防火墙冗余、业务支撑数据及系统异地备份,制定严格的数据备份与存档制度,异地VPN采用IPSecVPN策略,最终实现提高企业信息系统安全的目标.

2.1传输线路改造

传输线路的改造是这次企业信息系统安全升级的前提,只有线路传输系统可靠、稳定,业务运营支撑系统才能正常运转.利用现有的光缆及SDH技术实现了环网自愈,实现了2.5GPP环,环网除了提供企业内正常的业务运营,利用SDH设备CPOS接口实现E1的绑定,为供集团公司安全生产监控系统、货运地磅系统组成专网,与公司内部所有网络隔离,只有调度室人员及少数分管领导可以使用,数据集中放在企业信息中心.SDH系统的CPOS接口可以根据生产网视频流量及地磅系统业务量的需要分配带宽,改造后的网络传输系统满足了企业对安全生产的实时监控,企业真正把安全放在第一位.


总部中心机房的核心交换机原有1台CISCO6500,存在单点故障,曾经发生过6500电源故障,导致整个集团公司网络瘫痪,本次安全改造升级中新加1台CISCO6500交换机,利用CISCO的HSRP技术做双机,既消除单点故障又实现了负载匀衡.

核心路由器原有一台NETSCREENISG-2000,再增加一台JUNIPERSRX3400,由于设备型号不同不能做双机热备.为了防止设备故障造成的网络故障,我们采用两台设备做相同的功能配置,利用设备端口的冗余,实现故障时手动切换.

2.2怎么写作器升级改造

在这次信息系统的安全升级改造中,对企业集团业务支撑系统的怎么写作器作了重大改造.原系统设备:怎么写作器IBM346,存储NetGearReadyNAS11002T的容量,升级为两台IBMX3850,再增加一台NAS,形成双怎么写作器、双NAS的结构.设备分别放置在信息中心机房大楼和总部办公楼,实现了业务支撑应用系统、应用数据的容灾备份.设备的完善很重要,但是规范的制度同样很重要,我们制定的详细磁带及光盘备份策略,制定维护人员巡视制度及进出机房登记制度.科学的管理与网络设计保证企业数据的安全、可靠、可用,保障业务不间断.集中通一的数据管理,保证数据的共享,有利于数据维护、备份.

传输线路、核心交换设备、防火墙及应用系统怎么写作器的冗余,为整个集团公司信息系统安全、可靠的运行提供了有条件与保障.

传输线路及硬件设备冗余是企业信息系统能可靠运行的基础,网络安全则保证企业信息不被攻击,企业信息资源不被非法使用和访问,保护网内流转的数据安全,网络安全我们采用的是“由外到内”及分级的策略.

2.3设置防火墙

防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的怎么写作和访问的审计和控制.具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击.企业Inter出口防火墙NetScreenISG-2000及JuniperSRX3400关闭所有不允许的端口及怎么写作,配置DMZ区.集团公司对外怎么写作器都放在DMZ区中,如Web怎么写作器、Mail怎么写作器等对外业务.企业内部业务支撑系统、OA怎么写作器及FTP怎么写作器直连在核心交换机,双网卡同时与两台6500互连保证业务系统不间断运,防止外网用户的恶意访问.

内部用户按部门、业务不划分,分别划入不同的VLAN访问不同的资源与业务.从逻辑上保证不同的用户只能访问相应的企业信息资源,不被授权的用户不能进入该网络.VLAN的划分缩小广播域,也避免了广播风暴的产生,提高了交换网络的交换效率,保证网络的稳定,提高网络安全.针对逻辑子网中ARP病毒,我们采用了H3C的交换机实现了IP、MAC、端口的三绑定,消除了由ARP引起的网络瘫痪.

企业内部的应用系统,按系统的重要性划分了访问等级,如财务系统的用户我们采用IP、MAC绑定及KEY认证,不能访问财务系统的人没办法进入财务网,财务工作人员只能在指定的机器进行了操作;而OA、FTP给相应的用户分配及访问权限,没有进行身份认证.

总部企业网络升级改造完成后,我们对异地VPN进行升级.VPN设备:总部Cisco7902,异地Cisco2811,采作IPSecVPN技术实现企业业务数据在虚拟专用网络上的安全传输.原有的VPN系统作为现有VPN系统的备用,一旦总部或分支机构硬件设备出现故障,还能保证异地业务正常运行.

结论:整个企业信息系统安全项目升级后,通信传输、网络安全、系统安全、数据安全都上了一个新台阶,保证了企业信息系统的安全.

作者简介:李亮(1967年4月),男,汉,江苏徐州,徐矿集团通讯计算机处,单位邮编221006,江苏省徐州市,大学,工程师,主要从事光纤网络通讯工程等.

同类论文频道推荐 企业信息系统论文 企业信息发布系统论文 信息管理信息系统专业论文 信息管理信息系统论文 信息系统信息管理论文 质量管理信息系统 企业管理系统论文 计算机管理信息系统毕业论文 计算机管理信息系统论文 超市管理信息系统论文 工程管理信息系统论文 工程造价管理信息系统论文