论文部分内容阅读
【摘 要】本文依据昌河汽车有限责任公司信息系统具体状况和未来安全规划,参考国际上成熟的网络信息安全模型和标准的基础上,并提出了适合昌河汽车的安全实践。
【关键词】信息安全
1、绪论
汽车市场的竞争实质上是现代科技的较量,是技术创新的竞争。因此,信息化水平的提高成为我国汽车企业目前极为迫切的要求,许多企业在这上面不惜投入巨大的财力和人力。对于中国的汽车工业,无论是整车厂还是零配件厂商,跟上国际汽车巨头的信息化步伐,成为参与国际分工乃至进一步自主创新的关键。
昌河汽车自成立以来十分注重新产品的引进与开发。先后开发研制出了微型面包车、多功能车、轿车等系列车型和K系列发动机。公司现主要经营的产品有:微型厢式客车、北斗星系列多功能车、利亚纳轿车以及K14B发动机。昌河汽车在全国建立了较为完善的汽车营销和售后服务网络体系,为用户提供良好的售前、售中和售后服务。
昌河汽车以转换经营机制为突破口,结合铃木公司先进的管理经验,大力推行5S活动和看板管理,加快企业内部信息化建设,形成了具有自身特色的生产、开发、技术、管理、营销模式。多年来,公司始终坚持“站在用户的立场,创造有价值的产品”的质量方针,以一流品质真诚服务用户,奉献社会。
昌河汽车一直重视信息化及信息系统安全方面的建设。信息化建设网络基础:2001年建设公司局域网,网络分布至公司每个部门及库房、生产现场,对外internet采用NAT方式,拥有独立的WEB门户网站和EMAIL邮件系统。硬件环境:现有各类业务服务器共三十余台,台式计算机1500余台,计算机使用普及率高。主要业务管理系统:生产管理信息系统、销售管理信息系统、设备管理信息系统、财务管理系统、企业协同系统等。
2、信息安全总体设计及实践
2.1网络安全要求及问题
2.1.1信息安全的最终实现目标
为应对市场竞争,提高企业生产经营效率,满足企业信息化建设的需要,昌河汽车借鉴国内先进的信息技术和安全管理经验,建成了一套企业信息化办公网络,并逐步加强网络传输的安全建设,和网络安全管理手段。以保障企业信息化的稳定运行。
2.1.2系统和应用的脆弱性
企业信息化办公网络建成后为企业经营和管理带来了极大的便利,生产经营效率明显提高。但同时引发了很多的技术问题:跨省专线费用太高,且链路发生故障之后的报修、排故、恢复程序极其繁杂,严重影响效率;无法满足移动办公的需求,无法满足上下游供应商的使用需求;与因特网连接时常受到攻击导致业务中断;内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。
2.1.3常见网络风险
通过系统的网络安全技术学习,昌河汽车信息化人员掌握了企业网络信息化建设过程中大量常见的网络风险和防范手段:Backdoor(各种后门和远程控制软件)、Brute Force(各种浏览器相关的弱点)、CGI-BIN(各种CGI-BIN相关的弱点)、Daemons(服务器中各种监守程序产生弱点)、DCOM(微软公司DCOM控件产生的相关弱点)、DNS(DNS服务相关弱点)、E-mail(各种邮件服务器、客户端相关的安全弱点)、Firewalls(各种防火墙及其代理产生的安全弱点)、FTP(各种FTP服务器和客户端相关程序或配置弱点)、Information Gathering(各种由于协议或配置不当造成信息泄露弱点)、Instant Messaging(当前各种即时消息传递工具相关弱点)、LDAP(LDAP服务相关的安全弱点)、Network(网络层协议处理不当引发的安全弱点)、Network Sniffers(各种窃听器相关的安全弱点)、NFS(NFS服务相关的安全弱点)、NIS(NIS服务相关的安全弱点)、NT Related(微软公司NT操作系统相关安全弱点)、Protocol Spoofing(协议中存在的安全弱点)、Router/Switch(各种路由器、交换机等网络设备中存在的安全弱点)、RPC(RPC(SUN公司远程过程调用)服务相关的弱点)、Shares(文件共享服务相关的安全弱点,i.e. NetBIOS/Samba等相关弱点)、SNMP(SNMP协议相关的安全弱点)、UDP(UDP协议相关弱点)、Web Scan(Web服务器相关安全弱点)、X Windows(X服务相关安全弱点)、Management(安全管理类漏洞)等。
2.2网络安全加固及应用拓展改造
针对上述网络风险,昌河汽车加强自身的网络安全建设,强化网络安全管理。重点进行了四个方面的技术改造:防火墙、上网行为管理、入侵防御及桌面管理系统。
2.2.1访问控制——防火墙
昌河汽车部署防火墙之后,内部办公网络的IP地址与MAC地址捆绑,授权上网用户实名制管理,根据工作需要申请和审批上网时间和访问权限。内部VLAN划分,把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。
2.2.2远程用户加密访问——VPN
昌河汽车生产销售和管理业务涉及两个省三个地市,为保障企业运营效率,根据不同的工作人员分配不同的权限,可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限,可以实现工作需要,保障企业内部流程效率
2.2.3内网用户网络行为监控---上网行为管理系统
昌河汽車通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况,对非法的行为可以限制非法进程的运行,非法软件的安全,随意的修改IP地址而导致的IP冲突等,内网用户的网络行为监控,可以极大程度的避免企业内网的安全风险。
2.2.4外网攻击的防护措施——入侵防御与防病毒
昌河汽车采用的入侵防御系统,具备7层检索比对入侵防御设备需要的高速芯片,同时具备硬件BYPASS功能和自动报警功能,当设备自身出现故障时不能中断网络运行,最大限度的避免单点故障对网络稳定运行的风险
2.2.5桌面端管理
昌河汽车通过桌面端管理套件核心服务器管理全网所有客户端。所有的管理数据统一保存在核心服务器后台的数据库中。通过角色管理可以使用管理套件控制台直接查看AD架构,而无须在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU,在分配权限时支持继承的概念。
【关键词】信息安全
1、绪论
汽车市场的竞争实质上是现代科技的较量,是技术创新的竞争。因此,信息化水平的提高成为我国汽车企业目前极为迫切的要求,许多企业在这上面不惜投入巨大的财力和人力。对于中国的汽车工业,无论是整车厂还是零配件厂商,跟上国际汽车巨头的信息化步伐,成为参与国际分工乃至进一步自主创新的关键。
昌河汽车自成立以来十分注重新产品的引进与开发。先后开发研制出了微型面包车、多功能车、轿车等系列车型和K系列发动机。公司现主要经营的产品有:微型厢式客车、北斗星系列多功能车、利亚纳轿车以及K14B发动机。昌河汽车在全国建立了较为完善的汽车营销和售后服务网络体系,为用户提供良好的售前、售中和售后服务。
昌河汽车以转换经营机制为突破口,结合铃木公司先进的管理经验,大力推行5S活动和看板管理,加快企业内部信息化建设,形成了具有自身特色的生产、开发、技术、管理、营销模式。多年来,公司始终坚持“站在用户的立场,创造有价值的产品”的质量方针,以一流品质真诚服务用户,奉献社会。
昌河汽车一直重视信息化及信息系统安全方面的建设。信息化建设网络基础:2001年建设公司局域网,网络分布至公司每个部门及库房、生产现场,对外internet采用NAT方式,拥有独立的WEB门户网站和EMAIL邮件系统。硬件环境:现有各类业务服务器共三十余台,台式计算机1500余台,计算机使用普及率高。主要业务管理系统:生产管理信息系统、销售管理信息系统、设备管理信息系统、财务管理系统、企业协同系统等。
2、信息安全总体设计及实践
2.1网络安全要求及问题
2.1.1信息安全的最终实现目标
为应对市场竞争,提高企业生产经营效率,满足企业信息化建设的需要,昌河汽车借鉴国内先进的信息技术和安全管理经验,建成了一套企业信息化办公网络,并逐步加强网络传输的安全建设,和网络安全管理手段。以保障企业信息化的稳定运行。
2.1.2系统和应用的脆弱性
企业信息化办公网络建成后为企业经营和管理带来了极大的便利,生产经营效率明显提高。但同时引发了很多的技术问题:跨省专线费用太高,且链路发生故障之后的报修、排故、恢复程序极其繁杂,严重影响效率;无法满足移动办公的需求,无法满足上下游供应商的使用需求;与因特网连接时常受到攻击导致业务中断;内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。
2.1.3常见网络风险
通过系统的网络安全技术学习,昌河汽车信息化人员掌握了企业网络信息化建设过程中大量常见的网络风险和防范手段:Backdoor(各种后门和远程控制软件)、Brute Force(各种浏览器相关的弱点)、CGI-BIN(各种CGI-BIN相关的弱点)、Daemons(服务器中各种监守程序产生弱点)、DCOM(微软公司DCOM控件产生的相关弱点)、DNS(DNS服务相关弱点)、E-mail(各种邮件服务器、客户端相关的安全弱点)、Firewalls(各种防火墙及其代理产生的安全弱点)、FTP(各种FTP服务器和客户端相关程序或配置弱点)、Information Gathering(各种由于协议或配置不当造成信息泄露弱点)、Instant Messaging(当前各种即时消息传递工具相关弱点)、LDAP(LDAP服务相关的安全弱点)、Network(网络层协议处理不当引发的安全弱点)、Network Sniffers(各种窃听器相关的安全弱点)、NFS(NFS服务相关的安全弱点)、NIS(NIS服务相关的安全弱点)、NT Related(微软公司NT操作系统相关安全弱点)、Protocol Spoofing(协议中存在的安全弱点)、Router/Switch(各种路由器、交换机等网络设备中存在的安全弱点)、RPC(RPC(SUN公司远程过程调用)服务相关的弱点)、Shares(文件共享服务相关的安全弱点,i.e. NetBIOS/Samba等相关弱点)、SNMP(SNMP协议相关的安全弱点)、UDP(UDP协议相关弱点)、Web Scan(Web服务器相关安全弱点)、X Windows(X服务相关安全弱点)、Management(安全管理类漏洞)等。
2.2网络安全加固及应用拓展改造
针对上述网络风险,昌河汽车加强自身的网络安全建设,强化网络安全管理。重点进行了四个方面的技术改造:防火墙、上网行为管理、入侵防御及桌面管理系统。
2.2.1访问控制——防火墙
昌河汽车部署防火墙之后,内部办公网络的IP地址与MAC地址捆绑,授权上网用户实名制管理,根据工作需要申请和审批上网时间和访问权限。内部VLAN划分,把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。
2.2.2远程用户加密访问——VPN
昌河汽车生产销售和管理业务涉及两个省三个地市,为保障企业运营效率,根据不同的工作人员分配不同的权限,可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限,可以实现工作需要,保障企业内部流程效率
2.2.3内网用户网络行为监控---上网行为管理系统
昌河汽車通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况,对非法的行为可以限制非法进程的运行,非法软件的安全,随意的修改IP地址而导致的IP冲突等,内网用户的网络行为监控,可以极大程度的避免企业内网的安全风险。
2.2.4外网攻击的防护措施——入侵防御与防病毒
昌河汽车采用的入侵防御系统,具备7层检索比对入侵防御设备需要的高速芯片,同时具备硬件BYPASS功能和自动报警功能,当设备自身出现故障时不能中断网络运行,最大限度的避免单点故障对网络稳定运行的风险
2.2.5桌面端管理
昌河汽车通过桌面端管理套件核心服务器管理全网所有客户端。所有的管理数据统一保存在核心服务器后台的数据库中。通过角色管理可以使用管理套件控制台直接查看AD架构,而无须在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU,在分配权限时支持继承的概念。