数字化制造企业的信息安全体系及实施方案

        包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型( TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP,RPC或动态的协议。

         b.代理防火墙:

         代理防火墙又称应用层网关级防火墙，由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是Win Gate和Proxy Server。

         2.2.3应用层系统安全策略

         (1)应用层系统安全一方面需要对应用系统进行检测和修补。

         通过扫描软件对重要网段内的所有提供网络服务的设备进行漏洞扫描和修补，在条件具备时扫描范围应该扩大到网络的所有设备。

         加强应用层系统安全主要可采取3种措施，一是通过基于网络的扫描软件对重要主机系统进行定期漏洞扫描评估，发现漏洞后对系统及时进行修补;二是通过在重要的主机上(如应用服务器、WEB服务器、数据库服务器等)安装基于主机的实时人侵检测系统防范各类攻击;三是建立基于网络的防病毒系统。

         (2)应用层系统安全的另一方面是用户口令的安全策略。

        用户口令是用户人网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于10个字符，口令字符最好是数字、字母和其他字符的混合。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许人网的宽限次数。

         (3)应用层系统安全的再一方面是设备集中控制策略。

       设备集中控制采用基于网络的设备集中控制系统对受限机器的对外复制渠道进行控制。中心控制台接管所有受限机器的系统资源，对受限机器的终端输出设备((USB、软盘、串并口、红外接口等)、网络文件共享进行监管。每个内部员工分配1个固定、唯一的IP地址，并在网络安全设备中将其与MAC地址捆绑起来，则该计算机所产生的所有行为视为该员工的行为。

        2.3信息化数据及资料安全

        企业需要存储海量的生产数据信息，更需要保证信息系统的永不停顿以及系统的安全。意外断电、系统或服务器崩溃、用户失误、磁盘损坏甚至数据中心的灾难性丢失都可能造成数据库文件的破坏或丢失。而这些文件往往包含着珍贵的数据，经不得任何损失。数据库管理员必须对此有所准备。在这种情况下，数据库备份占了举足轻重的位置。数据库备份几乎是任何计算机系统中绝对必需的组成部分。

         数据备份主要通过双机热备、数据灾难备份、存储磁盘阵列等方式共同组成一套企业级存储服务系统，采用双机热备技术保证重点服务器的不间断运行，采用磁盘阵列技术对重要数据进行实时备份，采用磁带机对重要数据进行灾难备份。再结合各主机系统内含的数据备份程序或各类专业级数据备份软件为网内的各异构系统的计算机系统(包括UNIX和Windows系统)的关键应用提供数据库的集中式存储与管理，增强稳定性、可用性、安全性，减少由于硬件或其他安全问题带来的损失。企业的核心交换机也采用备份机制。

         数据备份系统在工作的时候，所有客户端的数据库备份任务都是由主备份服务器按策略自动发起。针对不同客户端服务器上需要备份数据库的不同，系统管理员在主备份服务器上制定每台客户端服务器不同的数据库备份运行方式，将启动的时间，备份任务发生的时间间隔等都设置好。整个备份网络的存储设备集中连接到主备份服务器上。存储设备里的存储介质(磁带)也都由主备份服务器统一分配使用，备份数据流将通过网络等方式传到主服务器上并最终写入存储设备。目前使用的数据库备份方案是完全备份和增量备份相结合的备份方式，通过自动化带库及集中的运行管理。定期工作人员通过使用备份软件对写人磁带的数据库数据进行校验以保证数据的完整性及有效性。

          2.4制度约束

        无论信息泄露的表现形式如何，这类安全违规事件追究到最后大部分都是由企业内部人员所造成的。因此，解决来自企业内部的信息安全问题应以人为核心要解决以上的企业内部信息安全问题，一方面要加强技术手段，另一方面要完善企业关于信息安全问题的相关管理制度，加强对员工安全意识的培训和安全行为的管理。

         在网络安全中，除了采用技术措施之外，还应加强网络的安全管理，制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等规章制度，这对于确保网络的安全、可靠地运行，将起到非常有效的作用。

         3、结束语

         数字化化制造企业由于信息系统覆盖面更广、集成度更高，解决面临的信息安全问题显得更为棘手。要解决企业内部信息安全问题，一方面要加强技术手段，另一方面要完善企业关于信息安全问题的相关管理制度，加强对员工安全意识的培训和安全行为的管理。在数字化企业信息安全模型中，通过采取合理的安全策略、建立专门的安全组织机构、完善安全制度来建立保障数字化企业信息安全的长效机制;通过加强定期的安全评估，发现信息系统中潜在的安全漏洞，以便及时弥补和修复;通过安全审计工作，及时发现潜在的安全事件，以便及时进行处理，同时对安全违规行为起到威慑作用，减少安全违规事件。