物流信息平台的网络安全体系构建
2012-10-16彭慧
彭 慧
(湖南财政经济学院,湖南 长沙 410205)
物流信息平台的网络安全体系构建
彭 慧
(湖南财政经济学院,湖南 长沙 410205)
物流产业是新型第三产业中的重要产业,与传统单一物流模式相比,现代化物流产业的重要特点就是将物流与现代信息技术结合起来,物流信息平台对整个物流产业的运转安全有着非常重要的影响.本文的主要内容就是对物流信息平台的功能,可能面临的威胁进行分析,并且对物流系统的网络安全构建提出意见和建议.
物流;信息平台;网络安全
1 物流信息平台的特点与功能
现代物流对整个社会经济的发展有着非常重要的作用,它就像一个纽带,连接着不同产业、行业之间的物资转换.随着产业化规模的兴起,物流产业在业务上范围不断扩大,同时物流企业面临的竞争也越来越激烈.在这个开放性的市场环境中,已经有越来越多的物流企业争相出现,并积极拓展自己的市场和渠道.在这种环境下,提升企业的服务质量和工作效率就成为物流企业为自己赢得口碑的重要之举,要做好这两项工作,我们就必须利用现代化的信息网络技术来加强企业信息平台的建设,使企业内部能够更加高效、快捷的工作.不仅如此,企业与企业之间的合作,企业与消费者之间信息的传递都需要现代化信息平台功能的发挥.
企业的信息平台,是物流过程中所有数据和信息进行信息技术管理和整合的体现.有了这个平台,消费者能够了解到自己服务事项目前所处的状态和运行的情况,管理者能够及时的了解企业整体的运行情况以及当前市场上出现的最新动态.物流信息平台在企业的运行中承担的职责很多,既有管理作用,又有辅助决策作用.物流信息平台,应该是一种开放性的信息平台,平台中所处理和采集的各种数据能够被阅览者根据自己的需求和权限获得.在信息平台上,数据和资料始终是最为重要的价值资源,所以尽管信息平台可以根据具体的权限进行有选择、有限制的开放,但是数据安全依然是每个企业都非常重视和关注的问题.一旦信息平台的安全性受到冲击,这些数据就面临着泄露、篡改、遗漏的危险,这对企业的经营决策会带来直接的影响,进而影响到整个物流管理工作的效果、水平以及企业的现实经济效益.所以,物流信息的安全,对于企业来说有着非常重要的作用,它已经逐渐演变成物流企业维持运营的基石,一旦其发生纰漏,产生的后果是难以控制和想象的.加强物流信息平台的安全建设,已经成为我国现代化物流产业发展的一项重要工作内容和主题,这也是本文进行探讨分析的根本目的之所在.
2 物流信息平台安全保障
物流信息平台,除了基本的硬件设施、通讯设施以及相关的物流装备以外,还离不开进行操作管理的工作人员.所以,我们认为这个信息平台虽然是以智能化的运行、操作为主要模式,但是人力因素也并不能忽略.当这个包含着众多元素的平台向不同的客户端提供不同的服务时,其面临的危险也是多样不可预测、不可控的.信息平台一旦出现安全问题,就不再是一个单一的系统、单一的计算机终端、单一的软件、单一的硬件设施出现问题,而是其中任何一种或者几种因素的交叉组合,并且还有不确定外界因素的影响.
对于信息平台的安全,我们将其归纳为两个最基本、最重要的方面,一个是平台采集储存数据的安全性,另一种则是整个平台是否能够正常的运转.也就是数据安全和整个系统平台运行安全两个部分.数据安全,指的就是数据在平台的运行处理过程中,保证数据的真实性、准确性、保密性.单一的数据处理看起来不重要,但是当这些数据持续捆绑在一起时,往往就是企业最重要的机密信息,一旦泄露,企业就会出现竞争危机.信息平台的安全,则相对更为复杂,例如服务器、硬盘存储设备、操作系统、网络等都影响着平台的安全.要构建物流信息平台的网络安全体系,我们就必须了解在当前的网络环境下,一个信息平台可能受到的威胁究竟来源于哪些方面,如此才能针对具体的问题提出对策和建议来加强系统的安全性建设.
2.1 物理层的安全
物理层安全,是指数据传输的硬件设备对数据的安全带来的安全隐患.例如网络设备的安全性能需要能够保证平台正常运行,网络通道畅通等,这些都是平台能否运行最为基本的物理前提.一般来说,我们认为物理层的安全应该包含以下几个方面的内容:(1)设备是否完好,是否有毁损灭失的危险,是否处于安全的环境中,能够防盗窃,防损毁.(2)整个平台是否有链路老化的现象.(3)当信息平台的电磁辐射过量时,会出现由于电磁辐射而带来的信息泄露等问题.(4)发生地震、水灾、火灾等自然灾害后,会对信息平台的运行带来直接的冲击和影响.物理安全虽然在当前的平台安全威胁中比较少见,但并不是不存在,这些物理威胁基本上是可以通过预防来控制和减轻的,所以相对来说是比较容易控制的一种风险.
2.2 网络层的安全
信息平台数据的传输与传递通常都需要通过网络通道来完成,并且随着数据载体的多样化、语言、视频等新型载体的出现,数据传输的种类也越来越多样化,这也不可避免地带来了网络传输的安全问题.网络风险的存在,主要是指在数据传输过程中,网络的边界是否明确,网络设施是否满足网络安全的要求.
首先是数据传输的风险,这是因为对于企业来说,信息平台的数据传输不可避免地会涉及到两个方面,一个就是在企业内部的办公区域间进行各种数据的传输,这是比较常规的一种类型.另外一种就是除了在办公区域内需要进行数据的传输外,大部分企业还会提供在办公区域外,员工家里的数据传输.因为将数据传输的功能仅仅局限在办公区域内部是不现实的,这两个区域内的数据传输,如果没有保护措施,也会出现数据的泄露问题.例如在交换机或者集线器上安装窃听的设备或者装置,对数据的传输进行窃听,会对数据的安全性带来极大的威胁.其次,是网络的边界问题.所谓网络边界,是指每一个企业内部在处理这些重要的数据时都会选择用局域网的模式来进行管理,特别是针对这种用于特殊企业的特殊项目的数据,通常是在一个局域网的范围内有传输和使用的权限,如果这种网络界限不能够明确,就会带来信息的泄漏等问题.
数据加密通过加密算法对其进行加密,加密算法的输入信息为明文和密钥;密文,明文加密后的格式,是加密算法的输出信息.加密算法是公开的,而密钥则是不公开的.密文,不应为无密钥的用户理解,用于数据的存储以及传输.
密码数据传递示意图
再次,网络设备的安全.无论是在办公区域还是在员工自己的家中,进行数据传输都不可避免的会使用到网络设备,每一个设备自身的安全性如何,也会对整个网络系统产生重要的影响.例如:ARP欺骗,由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输.所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!
最后,网络服务的安全.在现代化的企业中,利用各种网络办公系统提高企业的工作效率已经成为普遍之举,最为常见的就是一些企业会建立自己的OA管理系统,利用邮件来传递大量的信息等.例如:Ddos攻击,Ddos攻击能瞬间造成对方电脑死机或者假死,有人曾经测试过,攻击不到1秒钟,电脑就已经死机和假死,鼠标图标不动了,系统发出滴滴滴滴的声音.它的模式就是通过向这些处理办公服务的终端不停的发送大量的数据,长期持续的攻击最终导致整个服务系统的瘫痪,进而使整个平台的运行受到阻碍.从技术层面来看,这种攻击模式是不会消失的,因为TCP/IP协议的运行,就决定了这种攻击模式的可行.它的操作方式就是明确具体一个侵害主机,使其失去处理危机的能力并且无法向外界请求帮助.
2.3 网络的安全
网络的安全指的是整个平台的运行中遭受病毒威胁,网络病毒能够利用操作系统本身的漏洞在整个系统中快速的传播,最终导致系统瘫痪.
病毒防范的措施:
(1)全面规划网络平台的安全策略.
(2)制定网络安全的管理措施.
(3)使用防火墙.
(4)尽可能记录网络上的一切活动.
(5)注意对网络设备的物理保护.
(6)检验网络平台系统的脆弱性.
(7)建立可靠的识别和鉴别机制.
2.4 人为原因
物流信息系统平台的安全,除了我们已经介绍的几个方面存在威胁因素外,人为原因也是对平台安全产生影响的重要因素.信息平台的建立、操作、使用必然是需要具体员工的参与,要有具体的制度进行规范,所有的操作使用行为都应该有明确的依据.但是,如果只是建立了一个客观物质的信息平台,却没有相匹配的制度对其进行管理,员工对自己应当承担的责任并不明确、管理制度也非常的混乱,操作程序紊乱,就会使整个平台面临的危险指数上升,没有风险防范意识,没有危机应对处理机制,都会导致一旦危险出现危害结果的迅速扩大和不可遏止.
3 网络安全体系的构建
在上文我们已经对物流信息平台面临的潜在威胁进行了系统的介绍,将其具体到每一个环节和细节工作中,我们认为其具体需要处理的危险应该包含以下几个方面的内容:非授权访问、假冒和抵赖、遭受拒绝服务的攻击、恶意代码、破坏信息完整性、电磁泄漏、窃取、通信业务流分析、破坏网络的可用性、操作失误、自然灾害和环境事故.针对这些具体的危险,物流信息平台网络安全体系的构建就应该一一对应地予以解决,于是就需要做好以下几个系统的安全防护工作.物流信息安全措施结构如图:
3.1 网络访问的安全控制
对于网络访问的安全控制,我们主要从防火墙的设计以及身份的识别、认证方面来进行控制,防火墙最大的效果就是阻隔非法访问对象试图进行的一切访问.在这个原则下,我们对网络安全的设计应该是一种授权机制,即所有被授权能够进行访问的对象能够正常访问,出席以外的一些访客被禁止访问.
防火墙配置和管理不当会对系统平台的安全带来隐患,所以为了尽可能地降低和减少这种隐患带来的攻击,需要对防火墙进行专业的配置,并通过专业的管理人员进行管理.
3.2 入侵检测系统的应用
防火墙技术的局限性决定了仅仅采用防火墙设计不足以安全的保障整个平台系统的运行安全,所以我们必须提供相应的支援手段和技术来更好的防护.入侵检测系统,它作用的方式就是在整个网络结构的关键区域来部署专门针对入侵的探测引擎.这些探测引擎被分布在不同的区域,但是接受统一的控制管理.当整个系统接受到可能被侵害的信号或者发现某种威胁时,就会根据具体的情况来使用这些引擎进行探测分析,无论是在线还是离线,都能够分析出已经发生或者将要发生的入侵危险.特别是对一些关键区域,关键的服务器,使用这种探测引擎能够更好地进行检测和监督.
3.3 漏洞扫描监管
漏洞扫描监管是一种长期持续的监控模式,如同我们现在经常在个人PC上使用的360安全卫士一样,它其中的漏洞扫描技术可以通过定期的扫描或者系统本身默认的扫描方式发现整个平台中存在的安全漏洞,提出风险警告,并且具备风险应对的处理能力.当然,用于物流信息平台的漏洞监管扫描要比我们日常使用的这种系统要更加复杂,也必须更加健全.物流信息网络安全拓扑:
(1)设计物流信息网络安全体系应遵循的原则:安全性、可行性、高效性、可承担性.
(2)物流信息网络安全体系的组成.
风险管理、行为管理、信息管理、安全边界、系统安全、身份认证与授权、应用安全、数据库安全、链路安全、桌面系统安全、病毒防治.
3.4 安全监管系统
安全监管系统主要提供三个功能:协同联防、统一管理和日常运行.安全管理贯穿在安全的各个层次实施.从全局管理角度来看,制订全局的安全管理策略,根据安全防范体系中的各种安全技术标准,设定安全管理的角色,如业务系统管理员、网络系统管理员、安全管理员、系统审计分析员等职位.根据不同的职能,定义不同角色的责任和权利,制定相应的操作规范:从技术管理角度来看,实现安全的配置和管理,并设立统一信息控制中心,根据“网络系统信息安全管理指南”制定安全管理制度,确定安全管理体系等级,建立安全管理机制和各级安全管理中心,督促并保障制度的实施;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理.
〔1〕任贺英,张锡英.构建电子物流信息管理系统的思考[J].物流科技,2005,28(114).
〔2〕惠明春.浅谈物流信息系统及实践中应解决的问题[J].煤炭经济研究,2005(6):57.
〔3〕林自葵.物流信息系统[M]北京:清华大学出版社,北京交通大学出版社,2004.
〔4〕冉春娥.制约物流信息化发展的因素分析.[J]物流科技,2005,28(116).
〔5〕闵京华,马卫国,胡道元.基于信息安全理论和模型的安全需求分析[J].网络安全技术与应用,2004,11(47).
〔6〕卿斯汉,冯登国.信息系统的安全[M].北京:科学出版社,2003.
F252
A
1673-260X(2012)08-0139-03