基于企業信息系統的網絡安全研究

1 引言

目前，信息技術在我國取得了高速的發展，各個企業紛紛建立起了自己的信息系統。企業間業務的往來，企業內部項目的完成，無不依賴于信息技術的平臺，企業通過互聯網將世界各地的信息互聯共享，“數字地球”這一提法正是電子信息化廣泛應用的形象寫照。但是，隨著企業信息網絡開放性的提高，其安全性已成為不容忽視的重要問題，它是考驗網絡性能的關鍵。

2 企業信息系統存在的網絡安全隱患

企業信息系統網絡安全主要分為兩個層面：即網絡安全、信息安全。網絡安全主要包括系統軟件、應用軟件以及硬件平臺的安全；信息安全主要是指數據信息的安全，如數據的加密、備份等。目前，企業信息系統網絡主要存在的安全威脅有計算機病毒的感染、黑客入侵和攻擊、內部用戶非法訪問、數據意外損壞或丟失等。

3 企業信息系統的網絡安全防護技術

3.1 防火墻技術

防火墻處于內網和外網之間，用來執行兩網之間的訪問控制策略。從本質上來講，它是一種保護內網安全運行的訪問控制技術。它由硬件和軟件兩部分組成，主要包括包過濾路由器、應用層網關以及電路層網關等，一般在企業信息系統內網服務器前端放置，基主要工作原理是：通過包過濾技術將從內網和外網過來的數據流利用應用層代理的方式進行處理，從而實現內外網之間的安全通信。

硬件防火墻是企業信息網絡系統中比較常見的，在使用它之前需要進行一些設置，如工作模式的設定、網絡接口的設置等。防火墻的工作模式有兩個：Drop-In Mode和Routed Mode。前者主要適用于無內網的環境，所以一般選擇“Routed Mode”模式。然后進行外部接口、內部接口的設置。完成一系列配置后，便可通過GUI 程序與防火墻相連接了。

3.2 NAT 技術

NAT技術是一種網絡地址轉換技術，通過在路由器上這安裝NAT軟件，在訪問外網時，會將企業內部的私有IP地址轉換成有限的數個（或一個）公有IP地址，從而隱藏企業內網各個主機的真實IP地址，達到提高網絡安全性的目的。NAT技術的實現主要有三種方式：靜態轉換、動態轉換以及端口多路復用。

以靜態轉換為例，通過一段NAT配置代碼簡述其原理。

如圖1所示，此企業通過一臺路由器（S0為內部端口，S1為外部端口）與外網相連，企業有兩臺服務器：FTP服務器和Web服務器，供外網用戶訪問。假如企業申請到四個公網地址（222.222.100.1-222.222.100.4），可以做如下配置：（ISP端路由器使用222.222.100.4）

Router（config）#int s0

Router（config-if）#ip add 192.168.100.254 255.255.255.0

Router（config-if）#ip nat inside

Router（config）#int s1

Router（config-if）#ip add 222.222.100.1 255.255.255.248

Router（config-if）#ip nat outside

Router（config）#ip nat inside source static 192.168.100.1 222.222.100.2

Router（config）#ip nat inside source static 192.168.100.2 222.222.100.3

Router（config）#access-list 1 permit 192.168.100.0 0.0.0.255

Router（config）#ip nat inside source list 1 interface s1 overload

Router（config）#ip route 0.0.0.0 0.0.0.0 222.222.100.4

通過這樣的配置，外部用戶在訪問企業信息系統時，路由器通過NAT技術將公網IP地址轉到內部IP地址，從而對內部服務器進行訪問，但外部用戶只能看到公網IP地址。

3.3 入侵檢測系統IDS

入侵檢測系統（IDS）可以主動防御攻擊，與防火墻相配合可以使企業信息系統的安全防御更加完善，在信息系統的網絡安全中起著非常重要的作用。IDS一般放置在內網服務器前端，如圖2所示，檢測器與控制臺的設置是入侵檢測系統的關鍵。我們可以在外路由器與外網的連接處，防火墻與管理信息系統（MIS）之間分別設置檢測器，在管理信息系統和監控信息系統（SIS）中分別設置檢測器；在管理信息系統中設置控制臺。然后，為重點服務器、工作站安裝入侵檢測軟件。

3.4 身份認證技術

身份認證技術是用來對來訪用戶進行身份驗證，從而對不同的用戶進行訪問控制和記錄。為了確保網絡的安全，特定的用戶只能訪問特定的網絡資源，這就在一定程度上限制了非法用戶的訪問，使其無法訪問權限以外網絡資源。

其中指紋加密技術是公認的可靠性強的身份認證技術。其主要原理是：首行在計算機上運用IDEA算法為用戶生成一個用戶密鑰IDEAK，之后將它與用戶名及用戶指紋信息一起用KDC（密鑰分配中心）的公鑰EPK進行加密，最后將這些信息存儲到KDC中。

身份認證時，將用戶名及指紋信息與數據庫中的記錄相比對，合法用戶將獲得其RSA私鑰，來解密公鑰加密信息，從而獲得與外界網絡的安全通信。

3.5 SSL加密技術

在數據傳輸過程中，為了保證數據的安全，很多企業采用SSL加密技術。 主要是建造一條介于瀏覽器和Web服務器之間的安全通道，從而來進行數據的安全傳輸。SSL主要采用RC4、MD5、RSA等加密算法，使用的密鑰位數達到40 位，尤其適用于對商業重要信息的加密。如百度、淘寶等中的HTTPS就是HTTP over SSL，是基于SSL技術開發的瀏覽器內置協議。它通過默認端口443來和TCP/IP進行通信，而不是HTTP中使用的80端口。HTTPS協議使用SSL技術在發送方加密原始數據，之后在接受方對數據進行解密，兩個過程都需要通過交換密鑰來完成。因此，數據在傳送過程中就不易被黑客截獲、解密。

5 結束語

企業信息系統的網絡安全技術除了上述幾種外，還有防病毒技術、虛擬局域網技術、數據備份技術等一些被廣大企業普遍應用的技術。總之，要通過各種措施加強企業信息系統的網絡安全，為企業商業項目的推進保架護航，從而為社會創造更大的價值。

參考文獻

[1] 袁敬.計算機網絡安全分析研究[J].信息安全與技術，2015（1）：28-29+47.

[2] 段軍紅，崔阿軍，張馴，張華峰，閆曉斌.面向智能電網的網絡信息安全架構[J].信息安全與技術， 2015（11）： 52-54.

作者簡介：

林寬勝（1979-），男，甘肅天水人，大學本科，中級工程師；主要研究方向和關注領域：無線電廣播與有線電視。