隨著互聯(lián)網(wǎng)技術(shù)、計算機技術(shù)、通信技術(shù)的發(fā)展，信息化已經(jīng)滲透到我們的日常生活，改變了人們的生活方式和工作模式，信息化程度已經(jīng)成為衡量企業(yè)集團發(fā)展階段的重要標(biāo)志。人們在感受到信息化給日常生活、辦公帶來巨大變化的同時也應(yīng)該清醒的認識到，信息系統(tǒng)安全問題已成為影響國家、政治、經(jīng)濟、文化、教育、企事業(yè)單位的發(fā)展的重要因素。尤其是涉及國防科技工業(yè)、軍隊的涉密企事業(yè)單位，信息系統(tǒng)的安全顯得尤為重要。在信息系統(tǒng)的日常運行與維護中，外界入侵者利用操作系統(tǒng)或者應(yīng)用系統(tǒng)的自身缺陷進行攻擊，內(nèi)部人員發(fā)泄性的惡意攻擊，系統(tǒng)管理人員的誤操作等等，這些都可能導(dǎo)致信息系統(tǒng)的數(shù)據(jù)丟失，情節(jié)嚴重的可能會導(dǎo)致系統(tǒng)癱瘓，進而影響系統(tǒng)的運行。

　　1、信息系統(tǒng)的安全接入技術(shù)

　　信息系統(tǒng)的安全防護技術(shù)主要有VLAN 劃分，MAC地址綁定，配置ACL等。其目的是確保接入該系統(tǒng)的終端設(shè)備是安全、可信的。在圖1 所示的拓撲圖中，由內(nèi)部網(wǎng)絡(luò)、DMZ 區(qū)域、外網(wǎng)區(qū)域三部分組成。左邊為內(nèi)部網(wǎng)絡(luò)，我們也稱之為trust區(qū)域。即對于管理員來講是可信區(qū)域，內(nèi)部網(wǎng)絡(luò)中不同的部門被劃分在不同的VLAN 中，VLAN 之間不能相互通信，同一VLAN 成員之間可以相互通信，內(nèi)部成員可以訪問內(nèi)網(wǎng)郵件系統(tǒng)、OA系統(tǒng)等；將內(nèi)網(wǎng)與防火墻的內(nèi)網(wǎng)接口相連形成的區(qū)域稱之為非軍事區(qū)，即DMZ 區(qū)域。DMZ 區(qū)域負責(zé)為外網(wǎng)提供WEB 瀏覽服務(wù)；將防火墻的外網(wǎng)口與外部網(wǎng)絡(luò)相連稱之為外部區(qū)域，即untrust 區(qū)域，對于管理員來講是非可信區(qū)域，即可能存在外部的攻擊、入侵等行為的地方。
 

　　2、訪問控制策略的設(shè)置

　　CISCO 交換機將網(wǎng)絡(luò)模型分為三層：接入層、分配層、核心層，其中接入層主要負責(zé)終端設(shè)備的安全接入，確保接入終端的合法、唯一、可靠、安全；分配層負責(zé)數(shù)據(jù)的路由和過濾功能；核心層主要負責(zé)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，提高網(wǎng)絡(luò)的吞吐率。
 

　　本論文利用Cisco Packet Tracer 5.3 模擬器對訪問接入控制策略進行仿真，如圖2 所示。市場部占用192.168.1.0/24，財務(wù)部占用192.168.2.0/24，科技部占用192.168.3.0/24，人力占用192.168.4.0/24。為內(nèi)網(wǎng)提供辦公系統(tǒng)服務(wù)器IP 地址為192.168.10.1，ERP 系統(tǒng)的IP 地址為192.168.20.2，郵件系統(tǒng)為192.168.30.3，人力系統(tǒng)地址為192.168.40.4。

　　2.1 VLAN 劃分

　　VLAN 是Virtual Local Area Network 的縮寫，在信息系統(tǒng)中，劃分VLAN 有許多優(yōu)點：

　　1) 隔離網(wǎng)絡(luò)廣播。

　　2) 簡化網(wǎng)絡(luò)管理。

　　3) 增強網(wǎng)絡(luò)安全性。

　　4) 提高網(wǎng)絡(luò)管理的靈活性。

　　VLAN 有靜態(tài)VLAN 和動態(tài)VLAN 之分，靜態(tài)VLAN 具有安全性高、更容易設(shè)置和監(jiān)控而被管理員經(jīng)常采用。假設(shè)市場部占用VLAN10，財務(wù)部占用VLAN20，科技部占用VLAN30，人力占用VLAN40。這便完成了各個部門之間廣播域的隔離。

　　部分命令如下：

　　Switch(config)#interface range fastEthernet 0/1-2

　　Switch(config-if-range)#switchport mode access

　　Switch(config-if-range)#switchport access vlan 10

　　% Access VLAN does not exist. Creating vlan 10

　　通過show vlan 命令得到如圖3 所示的信息。端口fa0/1、fa0/2 已經(jīng)被劃分到VLAN10 中，而其他端口仍然屬于VLAN1。其他端口采用類似的劃分。

　　2.2 MAC 地址綁定

　　為交換機端口制定MAC 綁定策略是保證接入終端唯一性的保證，部分命令如下：

　　Switch (config-if) # switchport port-security maximum 1

　　Switch (config-if) # switchport port-security mac-address sticky

　　Switch (config-if) # switchport port-security violation shutdown

　　完成上述配置后，用show mac-address 命令查看MAC表，該表中只有VLAN10的兩臺PC的MAC地址分別接入fa0/1 和fa0/2。通過對端口進行MAC地址綁定，sticky命令即可以將首次接入交換機的終端設(shè)備MAC地址記錄在MAC 表中。當(dāng)有其他設(shè)備試圖接入網(wǎng)絡(luò)時，該端口會因違反該策略而被關(guān)閉。此時需要管理員手動開啟該端口，并對違反該策略的終端設(shè)備的情況進行備案。當(dāng)接入一臺未綁定策略的計算機試圖ping 192.168.1.3 時，返回request timed out，即該設(shè)備不能訪問該網(wǎng)絡(luò)。如圖4 所示。
 

　　2.3 ACL 規(guī)則

　　訪問控制列表對網(wǎng)絡(luò)的運行效率和網(wǎng)絡(luò)運轉(zhuǎn)方面具有特殊的貢獻，網(wǎng)絡(luò)管理員使用訪問控制列表對企業(yè)中的傳輸數(shù)據(jù)進行過濾。管理員可以收集基本的數(shù)據(jù)包流量、統(tǒng)計數(shù)據(jù)和可實施的安全策略，保護敏感的設(shè)備遠離未授權(quán)的訪問。

　　標(biāo)準訪問控制列表是利用源地址對數(shù)據(jù)包進行過濾，以達到對進出網(wǎng)絡(luò)數(shù)據(jù)包控制的目的。要求財務(wù)ERP 系統(tǒng)192.168.20.2 只允許財務(wù)人員、市場部192.168.1.2 和人力部192.168.4.2 訪問，其他人員則禁止訪問。則ACL 設(shè)置部分代碼如下：

　　Router(config)#access-list 1 permit 192.168.1.2  0.0.0.0

　　Router(config)#access-list 1 permit 192.168.2.0  0.0.0.255

　　Router(config)#access-list 1 permit 192.168.4.2  0.0.0.0

　　Router(config)#access-list 1 deny any

　　Router(config)#exit

　　將ACL 應(yīng)用到接口上：

　　Router(config)#interface ethernet 0/2/0

　　Router(config-if)#ip access-group 1 out

　　此時市場部的主機192.168.1.2、192.168.1.3 和192.168.20.2 ERP 服務(wù)器之間的網(wǎng)絡(luò)連通可以通過ping 命令來測試，其結(jié)果如下：

　　市場部的主機192.168.1.2 能夠訪問192.168.20.2 ERP 服務(wù)器，而主機192.168.1.3 則不能訪問ERP服務(wù)器。其結(jié)果如圖5所示。
 

　　同樣，人力192.168.4.2、192.168.4.3 主機和192.168.20.2 服務(wù)器之間的網(wǎng)絡(luò)連通可以通過ping命令來測試，其結(jié)果如下：
 

　　192.168.4.2 能夠訪問ERP，而192.168.4.3 則不能訪問192.168.20.2。其結(jié)果如圖6所示。這樣便達到了控制內(nèi)網(wǎng)終端設(shè)備，提高網(wǎng)絡(luò)傳輸效率，節(jié)約資源的目的。

　　3、結(jié)語

　　信息系統(tǒng)安全防護遵循“三分技術(shù)，七分管理”的原則，而安全防護策略是三分技術(shù)的關(guān)鍵，通過技術(shù)手段來加強信息系統(tǒng)的安全防護是確保信息系統(tǒng)安全的重要防線。通過仿真可以看出，設(shè)置正確、合理的安全策略能夠有效的阻止非法或者非籍終端的接入，可以對終端的訪問行為進行限制，這樣便大大提了網(wǎng)絡(luò)可用性和安全性。此外，結(jié)合接入層的控制方法和加強制度的管理才能做到保障信息的安全，信息系統(tǒng)的安全防護是一個動態(tài)的過程，只有定期的調(diào)整策略才能使系統(tǒng)處于最佳的運行狀態(tài)。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：信息系統(tǒng)安全防護控制策略

本文網(wǎng)址：http://www.oesoe.com/html/support/11121512875.html