物流信息平台网络安全研究
更新时间:2020-09-05 03:00:08
(黄河科技学院,郑州450063)摘要物流信息平台网络安全保密问题主要存在于建设、应用和管理三个方面,可通过实施各种安全技术和管理方法,
(黄河科技学院,郑州 450063)
0引言
随着现代物流的发展,物流信息平台是一个涉及到多个复杂集成模块和众多供应链成员企业商业机密的复杂系统,任何一个安全漏洞都可能使物流企业信息平台受到致命的打击,安全问题不容忽视。
结合网络环境和具体应用分析,物流信息系统可能存在的安全威胁主要有:非授权访问、假冒和抵赖、遭受拒绝服务的攻击、恶意代码、破坏信息完整性、电磁泄漏、窃取、通信业务流分析、破坏网络的可用性、操作失误、自然灾害和环境事故。因此,安全设计可分为以下几个系统:防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、网站保护系统、安全审计系统、安全集成监控与管理系统。物流信息安全措施结构如图1所示。
1总体设计
在整个网络中各主要服务器组成的服务器群是整个网络的信息核心,是重点保护对象。服务器区的数据信息应具有高强度的安全性,文件的防病毒破坏等功能;安装网管软件对各服务器集中管理;在进入中心网络的服务器到交换机的链路上放置防火墙,进行安全访问的控制和隔离;在关键网段放置IDS探测引擎,所有的IDS探测引擎通过统一的控制中心进行管理控制,实时监控网络传输,自动检测网络行为,分析来自内网的进行网络的入侵检测和预警;在价格监测预警中心设置防病毒系统管理中心,用于局域网内部用户的病毒保护。通过统一平台的管理,进行全网病毒策略的控制和病毒库的随时更新;通过中心放置的漏洞扫描系统,进行中心的漏洞检测;在关键WWW服务器上配置网站保护系统,实现对网站、网页的安全保护。利用信息安全岛实现内部网络与网站系统的信息交换与物理隔离。
1.1 防火墙系统设计采用防火墙技术实现全网的安全访问控制策略;访问控制的原则是必须缺省禁止,即凡是没有被明令允许访问一律禁止。
外部防火墙或边界路由器过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;内部路由器或防火墙过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
要在坚持隔离的前提下保证网络畅通和应用透明,网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换,数据交换的关键点,因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换,配合防火墙的安全技术。
1.2 入侵检测系统设计入侵检测系统(IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测系统的设计结合现有的网络结构,在关键网络区域部署入侵检测探测引擎。探测引擎通过入侵检测控制中心进行统一管理和控制。通过对整个网络的多层保护,根据收集到的安全相关的事件,利用中心分析引擎,在线或离线地分析出即将发生或已经发生的入侵行为。在防火墙划分后的安全区域内、门户网站的服务器区域分另部署署入侵探测引擎,实现对关键服务器访问的有效检测。监测预警中心网络中的所有关键服务器通过核心交换机进行网络的数据交换,通过在核心交换机上分别部署百兆级别的入侵探测引擎,实现所有用户对关键服务器访问和数据库操作的有效检测。
1.3 漏洞扫描系统设计设置安全控制中心,安装漏洞扫描软件,定期对网络进行漏洞扫描和安全评估,发现并报告系统中存在的弱点和漏洞,评估安全风险,建议补救措施。网络漏洞扫描器执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、WEB服务器、防火墙和应用程序的检测,从而识别能被入侵者利用非法进入网络的韶关到定西物流漏洞。
1.4 防病毒系统设计防病毒系统设计将采用集中控制和多层防护策略,集中控制是指网络中心对部门工作站的病毒防护工作进行集中控制。多重防护是指从网络中心到各部门层层设防,防止病毒的传播和扩散。在所有的服务器、PC机以及电子邮件服务器、防火墙、网关上安装防病毒软件,对磁盘、可移动磁盘、光盘以及网络所收发文件和电子邮件的附件进行防护。制定管理措施:集中安装、统一策略配置;集中定期检查,远程控制;统一升级;病毒事件应急响应;拒绝使用手提电脑上网;安全培训。
1.5 网站保护系统对网站系统的保护则通过部署相应的产品以达到对网站系统的全面防护。采用实时扫描技术实现网页防篡改。在关键的WWW服务器上部署网站保护系统,实现对网站、页面的防护;分配不同的权限,从内部保障网站的安全;提供日志管理功能,记录所有对网站指定部分的合法或非法修改,便于实时监控和事后审核、跟踪;系统分监测端和远程控制端两部分组成;提供完善的系统用户管理功能,确保只有合法的用户能够启动或中止本系统的运做,以进一步保障系统的安全。
1.6 安全审计系统设置主机审计传感器。主机传感器安装在数据库服务器上,主要功能是监控数据库服务器的人机界面操作(主要指屏幕和键盘)、拔号连接和网络连接情况、对重要目录及文件的访问进行监控;设置监控中心,监控中心主要对主机传感器制定相应的策略规则并发布,接收它们传送的监控信息,进行日志记录,并在适当的广州到葫芦岛物流条件下报警。
安全审计系统将实现以下功能:监视网络上的反常行为;收集操作系统和应用系统内部所产生的审计数据;实时报警;操作控制;审计数据维护和查询加密,权限控制;规则制定;应急响应。
1.7 安全集成监控与管理系统设置安全监控管理系统,以达到对本系统各类网络安全设施的统一管理。安全监管系统主要提供三个功能:协同联防、统一管理和日常运行。
安全管理贯穿在安全的各个层次实施。从全局管理角度来看,制订全局的安全管理策略,根据安全防范体系中的各种安全技术所需的技术管理工作,设定安全管理的角色,如业务系统管理员、广州到通化物流网络系统管理员、安全管理员、系统审计分析员等职位。根据不同的职能,定义不同角色的责任和权利,制定相应的操作规范;从技术管理角度来看,实现安全的配置和管理,并设立统一信息控制中心,根据“网络系统信息安全管理指南”制定安全管理制度,确定安全管理体系等级,建立安全管理机制和各级安全管理中心,督促并保障制度的实施;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理。
2结论
文章对物流信息化平台的网络安全保障体系进行了细致的设计,为满足动态安全管理的要求,安全措施设计分为防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、网站保护系统、安全审计系统和安全集成监控与管理系统等几个系统,来实现物流信息平台的安全运行和稳定。