數(shù)字化制造企業(yè)將信息技術(shù)、現(xiàn)代化管理技術(shù)和制造技術(shù)相結(jié)合并應(yīng)用到企業(yè)產(chǎn)品生命周期全過(guò)程和企業(yè)運(yùn)行管理的各個(gè)環(huán)節(jié)，實(shí)現(xiàn)產(chǎn)品設(shè)計(jì)制造、企業(yè)管理、生產(chǎn)控制過(guò)程以及制造裝備的數(shù)字化和集成化，提升了企業(yè)產(chǎn)品開(kāi)發(fā)能力、經(jīng)營(yíng)管理水平和生產(chǎn)制造能力，從而提高了企業(yè)綜合競(jìng)爭(zhēng)能力。隨著企業(yè)數(shù)字化建設(shè)的深入，企業(yè)對(duì)信息化建設(shè)的要求越來(lái)越高，建設(shè)全面集成的數(shù)字化制造企業(yè)成為企業(yè)信息化工作的目標(biāo)。

        1、信息安全問(wèn)題分類(lèi)

        在企業(yè)信息化工作的開(kāi)展中，信息安全問(wèn)題是必須要考慮的首要問(wèn)題。數(shù)字化企業(yè)信息安全問(wèn)題總體上分為信息泄露問(wèn)題和信息丟失問(wèn)題。

       1.1信息泄露問(wèn)題

        數(shù)字化企業(yè)信息系統(tǒng)覆蓋面廣，不僅涉及到企業(yè)內(nèi)部設(shè)計(jì)和管理層信息化系統(tǒng)，而且向下延伸到企業(yè)生產(chǎn)設(shè)備網(wǎng)絡(luò)化運(yùn)行系統(tǒng)。可見(jiàn)信息安全涉及人員和環(huán)節(jié)多，稍有不慎就會(huì)出現(xiàn)信息泄露事件，一旦信息泄露將會(huì)對(duì)企業(yè)造成極大危害。

         1.2信息丟失問(wèn)題

         數(shù)字化企業(yè)信息化程度高，一旦出現(xiàn)信息丟失，將可能影響整個(gè)企業(yè)的運(yùn)行，使企業(yè)處于癱瘓狀態(tài)。同時(shí)由于對(duì)信息的依賴程度高，使得安全問(wèn)題的“水捅效應(yīng)”更加明顯，單點(diǎn)的安全問(wèn)題可能會(huì)對(duì)企業(yè)帶來(lái)很大的危害。

         2、安全體系

         針對(duì)數(shù)字化企業(yè)的總體信息安全需求，遵循安全性、可行性、效率性、可承擔(dān)性的設(shè)計(jì)原則，數(shù)字化企業(yè)的信息安全體系可從物理安全、網(wǎng)絡(luò)安全、信息化數(shù)據(jù)及資料安全、制度約束幾方面進(jìn)行設(shè)計(jì)。

         2.1物理安全

         物理安全的目的是保證數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)交換機(jī)、通訊鏈路以及其他重點(diǎn)生產(chǎn)設(shè)備的企業(yè)級(jí)信息安全，物理安全措施主要包括以下方面。

         (1)建立不同安全區(qū)域標(biāo)志實(shí)施不同區(qū)域隔離。

        特別是服務(wù)器存放的中心機(jī)房、涉及企業(yè)級(jí)保密數(shù)據(jù)的單位。具體設(shè)計(jì)中考慮門(mén)禁系統(tǒng)，建立出入審查和登記管理制度，對(duì)出入活動(dòng)進(jìn)行不間斷實(shí)時(shí)監(jiān)視記錄。

         (2)抑制和防止電磁泄漏(即TEMPEST技術(shù))。

        目前主要防護(hù)措施有2類(lèi):一類(lèi)是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉禍合。另一類(lèi)是對(duì)輻射的防護(hù)，這類(lèi)防護(hù)措施又可分為以下2種:一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)中心機(jī)房的下水管、暖氣管和金屬門(mén)窗進(jìn)行屏蔽和隔離;二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。

         2.2網(wǎng)絡(luò)安全

        2.2.1網(wǎng)絡(luò)結(jié)構(gòu)安全

        通過(guò)層次設(shè)計(jì)和分區(qū)設(shè)計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)之間的訪問(wèn)控制，網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)需要對(duì)網(wǎng)絡(luò)地址資源分配、VLAN劃分、路由協(xié)議選擇、QoS配置等方面進(jìn)行合理規(guī)劃。通過(guò)VPN加密信道保障企業(yè)分支機(jī)構(gòu)、合作伙伴與總部之間信息傳輸?shù)陌踩?通過(guò)布置防火墻系統(tǒng)加強(qiáng)了網(wǎng)絡(luò)層的安全性;通過(guò)在入口防火墻上布置入侵檢測(cè)系統(tǒng)動(dòng)態(tài)保護(hù)網(wǎng)絡(luò);通過(guò)布置訪問(wèn)控制系統(tǒng)、基于主機(jī)的人侵檢測(cè)系統(tǒng)，進(jìn)一步保障關(guān)鍵服務(wù)器的安全。

         2.2.2訪問(wèn)控制策略

         訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。訪問(wèn)控制也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。

        訪問(wèn)控制采用防火墻(Firewall)對(duì)服務(wù)器的網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，同時(shí)對(duì)重要服務(wù)器安裝專門(mén)的訪問(wèn)控制軟件，對(duì)登陸操作系統(tǒng)進(jìn)行身份識(shí)別和審計(jì)。

        各種策略必須相互配合才能真正起到保護(hù)作用。

         (1)人網(wǎng)訪問(wèn)控制。

        人網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄并獲取網(wǎng)絡(luò)資源，用戶的人網(wǎng)訪問(wèn)控制可分為3個(gè)步驟:用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的默認(rèn)限制檢查。3道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。

        對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。用戶注冊(cè)時(shí)首先輸人用戶名和口令，服務(wù)器將驗(yàn)證所輸人的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸人的口令，否則用戶將被拒之網(wǎng)絡(luò)之外。網(wǎng)絡(luò)管理員可以控制和限制普通用戶的帳號(hào)使用、訪問(wèn)網(wǎng)絡(luò)的時(shí)間、方式。用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。用戶帳號(hào)只有系統(tǒng)管理員才能建立。

         (2)網(wǎng)絡(luò)的權(quán)限控制。

         網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。根據(jù)訪問(wèn)權(quán)限將用戶分為以下幾類(lèi):

         a.特殊用戶(即系統(tǒng)管理員);

         b.一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限;

        c.審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。

        用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述。

         (3)目錄級(jí)安全控制。

         網(wǎng)絡(luò)應(yīng)控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有8種:系統(tǒng)管理員權(quán)限(Supervisor )、讀權(quán)限(Read)、寫(xiě)權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(File Scan)、存取控制權(quán)限(Access Control)。網(wǎng)絡(luò)系統(tǒng)管理員為用戶指定適當(dāng)?shù)脑L問(wèn)權(quán)限，這些訪問(wèn)權(quán)限控制著用戶對(duì)服務(wù)器的訪問(wèn)。8種訪問(wèn)權(quán)限的有效組合可以讓用戶有效完成工作，同時(shí)又能有效控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

         (4)屬性安全控制。

         當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員給文件、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限:向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。

         (5)防火墻控制。

         防火墻作為近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)l出2個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)多級(jí)防火墻建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)、內(nèi)網(wǎng)不同區(qū)域的訪問(wèn)，對(duì)網(wǎng)絡(luò)中重要網(wǎng)段加以保護(hù)，以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下2種類(lèi)型。

          a.包過(guò)濾防火墻:

包過(guò)濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過(guò)濾。首先應(yīng)建立一定數(shù)量的信息過(guò)濾表，信息過(guò)濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類(lèi)型( TCP、UDP、ICMP等)、協(xié)議源端口號(hào)、協(xié)議目的