汽车制造业IT信息安全

时间:2022-05-11 04:20:21

汽车制造业IT信息安全

《计算机安全杂志》2014年第六期

1信息安全总体设计及实践

1.1网络安全要求及问题

1.1.1信息安全的最终实现目标为应对市场竞争,提高企业生产经营效率,满足企业信息化建设的需要,汽车制造业应借鉴国内先进的信息技术和安全管理经验,建立一套企业信息化办公网络,并逐步加强网络传输的安全建设,和网络安全管理手段。以保障企业信息化的稳定运行。2.1.2系统和应用的脆弱性企业信息化办公网络建成后为企业经营和管理带来了极大的便利,生产经营效率明显提高。但同时引发了很多的技术问题:跨省专线费用太高,且链路发生故障之后的报修、排故、恢复程序极其繁杂,严重影响效率;无法满足移动办公的需求,无法满足上下游供应商的使用需求;与互联网连接时常受到攻击导致业务中断;内部人员未经授权许可访问互联网导致病毒攻击内部办公网等等。

1.1.3常见网络风险通过系统的网络安全技术学习,汽车制造业信息化人员应掌握企业网络信息化建设过程中大量常见的网络风险和防范手段:Backdo(各种后门和远程控制软件,例如BO、Netbus等)、BruteFce(各种浏览器相关的弱点,例如自动执行移动代码等)、CGI-BIN(各种CGI-BIN相关的弱点,例如PHF、wwwboard等)、Daemons(服务器中各种监守程序产生弱点,例如amd,nntp等)、DCOM(微软公司DCOM控件产生的相关弱点)、DNS(DNS服务相关弱点,例如BIND8.2远程溢出弱点)、E-mail(各种邮件服务器、客户端相关的安全弱点,例如Qpopper的远程溢出弱点)、Firewalls(各种防火墙及其产生的安全弱点,例如GauntletFirewallCyberPatrol内容检查弱点)、FTP(各种FTP服务器和客户端相关程序或配置弱点,例如WuFTPDsiteexec弱点)、InfmationGathering(各种由于协议或配置不当造成信息泄露弱点,例如finger或rstat的输出)、InstantMessaging(当前各种即时消息传递工具相关弱点,例如OICQ、IRC、Yahoomessager等相关弱点)、LDAP(LDAP服务相关的安全弱点)、Netwk(网络层协议处理不当引发的安全弱点,例如LAND攻击弱点)、NetwkSniffers(各种窃听器相关的安全弱点,例如NetXRay访问控制弱点)、NFS(NFS服务相关的安全弱点,例如NFS信任关系弱点)、NIS(NIS服务相关的安全弱点,例如知道NIS域名后可以猜测口令弱点)、NTRelated(微软公司NT操作系统相关安全弱点)、ProtocolSpoofing(协议中存在的安全弱点,例如TCP序列号猜测弱点)、Router/Switch(各种路由器、交换机等网络设备中存在的安全弱点,例如CiscoIOS10.3存在拒绝服务攻击弱点)、RPC(RPC(SUN公司远程过程调用)服务相关的弱点,例如rpc.ttdbserver远程缓冲区溢出弱点)、Shares(文件共享服务相关的安全弱点,BIOS/Samba等相关弱点,例如Samba缓冲区溢出弱点)、SNMP(SNMP协议相关的安全弱点,例如利用“public”进行SNMP_SET操作)、UDP(UDP协议相关弱点,例如允许端口扫描等)、WebScan(Web服务器相关安全弱点,例如IISASPdot弱点)、XWindows(X服务相关安全弱点)、Management(安全管理类漏洞)等。

1.2网络安全加固及应用拓展改造

针对上述网络风险,汽车制造业应加强自身的网络安全建设,强化网络安全管理。重点进行了四个方面的技术改造:防火墙(VPN)、上网行为管理、入侵防御及桌面管理系统。

1.2.1访问控制——防火墙部署防火墙之后,内部办公网络的IP地址与MAC地址捆绑,授权上网用户实名制管理,根据工作需要申请和审批上网时间和访问权限。内部VLAN划分,把不同部门用VLAN划分为不同的域以区分管理。重要数据库服务器和存储设备与办公网隔离。严格管理和控制内外网对数据库的访问。

1.2.2远程用户加密访问——VPN为保障企业运营效率,根据不同的工作人员分配不同的权限,可以在出差途中或家中处理紧急公务。并细化配置其VPN功能对企业内网的访问权限,可以实现工作需要,保障企业内部流程效率

1.2.3内网用户网络行为监控——上网行为管理系统通过对进程的审计可以了解到当前服务器的运行情况以及客户端的使用情况,对非法的行为可以限制非法进程(包括病毒进程、聊天软件进程等)的运行,非法软件的安全,随意的修改IP地址而导致的IP冲突等;内网用户的网络行为监控,可以极大程度地避免企业内网的安全风险。

1.2.4外网攻击的防护措施——入侵防御与防病毒采用入侵防御系统,具备7层检索比对入侵防御设备需要的高速芯片,同时具备硬件BYPASS功能和自动报警功能,当设备自身出现故障时不能中断网络运行,最大限度地避免单点故障对网络稳定运行的风险。

1.2.5桌面端管理通过桌面端管理套件核心服务器管理全网所有客户端。所有的管理数据统一保存在核心服务器后台的数据库中。通过角色管理可以使用管理套件控制台直接查看AD架构,而无需在管理套件中复制AD角色。同时可以分配管理套件权限给AD组或OU(ganizationunits),在分配权限时支持继承的概念。

2结论

本文结合了昌河汽车的实际情况,建立了适合汽车制造业信息安全模型和流程,并针对技术和方法展开了深入的研究,而这些研究成为选择技术解决方案的关键。

作者:吴继军陈志强杨少国单位:江西昌河汽车有限责任公司

上一篇:MSN协议分析及信息监控 下一篇:税源专业化任务管理工作意见