數字化制造企業將信息技術、現代化管理技術和制造技術相結合并應用到企業產品生命周期全過程和企業運行管理的各個環節，實現產品設計制造、企業管理、生產控制過程以及制造裝備的數字化和集成化，提升了企業產品開發能力、經營管理水平和生產制造能力，從而提高了企業綜合競爭能力。隨著企業數字化建設的深入，企業對信息化建設的要求越來越高，建設全面集成的數字化制造企業成為企業信息化工作的目標。

　　1、信息安全問題分類

　　在企業信息化工作的開展中，信息安全問題是必須要考慮的首要問題。數字化企業信息安全問題總體上分為信息泄露問題和信息丟失問題。

　　1.1信息泄露問題

　　數字化企業信息系統覆蓋面廣，不僅涉及到企業內部設計和管理層信息化系統，而且向下延伸到企業生產設備網絡化運行系統�？梢娦畔�安全涉及人員和環節多，稍有不慎就會出現信息泄露事件，一旦信息泄露將會對企業造成極大危害。

　　1.2信息丟失問題

　　數字化企業信息化程度高，一旦出現信息丟失，將可能影響整個企業的運行，使企業處于癱瘓狀態。同時由于對信息的依賴程度高，使得安全問題的“水捅效應”更加明顯，單點的安全問題可能會對企業帶來很大的危害。

　　2、安全體系

　　針對數字化企業的總體信息安全需求，遵循安全性、可行性、效率性、可承擔性的設計原則，數字化企業的信息安全體系可從物理安全、網絡安全、信息化數據及資料安全、制度約束幾方面進行設計。

　　2.1物理安全

　　物理安全的目的是保證數據庫服務器、應用服務器、計算機系統、網絡交換機、通訊鏈路以及其他重點生產設備的企業級信息安全，物理安全措施主要包括以下方面。

　　(1)建立不同安全區域標志實施不同區域隔離。

　　特別是服務器存放的中心機房、涉及企業級保密數據的單位。具體設計中考慮門禁系統，建立出入審查和登記管理制度，對出入活動進行不間斷實時監視記錄。

　　(2)抑制和防止電磁泄漏(即TEMPEST技術)。

　　目前主要防護措施有2類:一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉禍合。另一類是對輻射的防護，這類防護措施又可分為以下2種:一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對中心機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。

　　2.2網絡安全

　　2.2.1網絡結構安全

　　通過層次設計和分區設計實現網絡之間的訪問控制，網絡結構設計時需要對網絡地址資源分配、VLAN劃分、路由協議選擇、QoS配置等方面進行合理規劃。通過VPN加密信道保障企業分支機構、合作伙伴與總部之間信息傳輸的安全性;通過布置防火墻系統加強了網絡層的安全性;通過在入口防火墻上布置入侵檢測系統動態保護網絡;通過布置訪問控制系統、基于主機的人侵檢測系統，進一步保障關鍵服務器的安全。

　　2.2.2訪問控制策略

　　訪問控制是網絡安全防范和保護的主要策略，是保證網絡安全最重要的核心策略之一，它的主要任務是保證網絡資源不被非法使用和非常訪問。訪問控制也是維護網絡系統安全、保護網絡資源的重要手段。

　　訪問控制采用防火墻(Firewall)對服務器的網絡訪問進行控制，同時對重要服務器安裝專門的訪問控制軟件，對登陸操作系統進行身份識別和審計。

　　各種策略必須相互配合才能真正起到保護作用。

　　(1)人網訪問控制。

　　人網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄并獲取網絡資源，用戶的人網訪問控制可分為3個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的默認限制檢查。3道關卡中只要任何一關未過，該用戶便不能進入該網絡。

　　對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸人用戶名和口令，服務器將驗證所輸人的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸人的口令，否則用戶將被拒之網絡之外。網絡管理員可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號只有系統管理員才能建立。

　　(2)網絡的權限控制。

　　網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。根據訪問權限將用戶分為以下幾類:

　　a.特殊用戶(即系統管理員);

　　b.一般用戶，系統管理員根據他們的實際需要為他們分配操作權限;

　　c.審計用戶，負責網絡的安全控制與資源使用情況的審計。

　　用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

　　(3)目錄級安全控制。

　　網絡應控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種:系統管理員權限(Supervisor )、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)、存取控制權限(Access Control)。網絡系統管理員為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。8種訪問權限的有效組合可以讓用戶有效完成工作，同時又能有效控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

　　 (4)屬性安全控制。

　　當用文件、目錄和網絡設備時，網絡系統管理員給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

　　(5)防火墻控制。

　　防火墻作為近期發展起來的一種保護計算機網絡安全的技術性措施，是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進l出2個方向通信的門檻。在網絡邊界上通過多級防火墻建立起來的相應網絡通信監控系統來隔離內部和外部網絡、內網不同區域的訪問，對網絡中重要網段加以保護，以阻檔外部網絡的侵入。目前的防火墻主要有以下2種類型。

　　a.包過濾防火墻:

　　包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型( TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP,RPC或動態的協議。

　　b.代理防火墻:

　　代理防火墻又稱應用層網關級防火墻，由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似于一個數據轉發器，主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網絡轉發這項請求。代理防火墻無法快速支持一些新出現的業務(如多媒體)�，F要較為流行的代理服務器軟件是Win Gate和Proxy Server。

　　2.2.3應用層系統安全策略

    (1)應用層系統安全一方面需要對應用系統進行檢測和修補。

    通過掃描軟件對重要網段內的所有提供網絡服務的設備進行漏洞掃描和修補，在條件具備時掃描范圍應該擴大到網絡的所有設備。

    加強應用層系統安全主要可采取3種措施，一是通過基于網絡的掃描軟件對重要主機系統進行定期漏洞掃描評估，發現漏洞后對系統及時進行修補;二是通過在重要的主機上(如應用服務器、WEB服務器、數據庫服務器等)安裝基于主機的實時人侵檢測系統防范各類攻擊;三是建立基于網絡的防病毒系統。

    (2)應用層系統安全的另一方面是用戶口令的安全策略。

    用戶口令是用戶人網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于10個字符，口令字符最好是數字、字母和其他字符的混合。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統管理員應控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許人網的寬限次數。

    (3)應用層系統安全的再一方面是設備集中控制策略。

    設備集中控制采用基于網絡的設備集中控制系統對受限機器的對外復制渠道進行控制。中心控制臺接管所有受限機器的系統資源，對受限機器的終端輸出設備((USB、軟盤、串并口、紅外接口等)、網絡文件共享進行監管。每個內部員工分配1個固定、唯一的IP地址，并在網絡安全設備中將其與MAC地址捆綁起來，則該計算機所產生的所有行為視為該員工的行為。

　　2.3信息化數據及資料安全

    企業需要存儲海量的生產數據信息，更需要保證信息系統的永不停頓以及系統的安全。意外斷電、系統或服務器崩潰、用戶失誤、磁盤損壞甚至數據中心的災難性丟失都可能造成數據庫文件的破壞或丟失。而這些文件往往包含著珍貴的數據，經不得任何損失。數據庫管理員必須對此有所準備。在這種情況下，數據庫備份占了舉足輕重的位置。數據庫備份幾乎是任何計算機系統中絕對必需的組成部分。

    數據備份主要通過雙機熱備、數據災難備份、存儲磁盤陣列等方式共同組成一套企業級存儲服務系統，采用雙機熱備技術保證重點服務器的不間斷運行，采用磁盤陣列技術對重要數據進行實時備份，采用磁帶機對重要數據進行災難備份。再結合各主機系統內含的數據備份程序或各類專業級數據備份軟件為網內的各異構系統的計算機系統(包括UNIX和Windows系統)的關鍵應用提供數據庫的集中式存儲與管理，增強穩定性、可用性、安全性，減少由于硬件或其他安全問題帶來的損失。企業的核心交換機也采用備份機制。

    數據備份系統在工作的時候，所有客戶端的數據庫備份任務都是由主備份服務器按策略自動發起。針對不同客戶端服務器上需要備份數據庫的不同，系統管理員在主備份服務器上制定每臺客戶端服務器不同的數據庫備份運行方式，將啟動的時間，備份任務發生的時間間隔等都設置好。整個備份網絡的存儲設備集中連接到主備份服務器上。存儲設備里的存儲介質(磁帶)也都由主備份服務器統一分配使用，備份數據流將通過網絡等方式傳到主服務器上并最終寫入存儲設備。目前使用的數據庫備份方案是完全備份和增量備份相結合的備份方式，通過自動化帶庫及集中的運行管理。定期工作人員通過使用備份軟件對寫人磁帶的數據庫數據進行校驗以保證數據的完整性及有效性。

　　2.4制度約束

    無論信息泄露的表現形式如何，這類安全違規事件追究到最后大部分都是由企業內部人員所造成的。因此，解決來自企業內部的信息安全問題應以人為核心要解決以上的企業內部信息安全問題，一方面要加強技術手段，另一方面要完善企業關于信息安全問題的相關管理制度，加強對員工安全意識的培訓和安全行為的管理。

    在網絡安全中，除了采用技術措施之外，還應加強網絡的安全管理，制定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等規章制度，這對于確保網絡的安全、可靠地運行，將起到非常有效的作用。

　　3、結束語

    數字化化制造企業由于信息系統覆蓋面更廣、集成度更高，解決面臨的信息安全問題顯得更為棘手。要解決企業內部信息安全問題，一方面要加強技術手段，另一方面要完善企業關于信息安全問題的相關管理制度，加強對員工安全意識的培訓和安全行為的管理。在數字化企業信息安全模型中，通過采取合理的安全策略、建立專門的安全組織機構、完善安全制度來建立保障數字化企業信息安全的長效機制;通過加強定期的安全評估，發現信息系統中潛在的安全漏洞，以便及時彌補和修復;通過安全審計工作，及時發現潛在的安全事件，以便及時進行處理，同時對安全違規行為起到威懾作用，減少安全違規事件。
 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：數字化制造企業的信息安全體系及實施方案

本文網址：http://www.guhuozai8.cn/html/support/11121510386.html