包過濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過濾。首先應(yīng)建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型( TCP、UDP、ICMP等)、協(xié)議源端口號(hào)、協(xié)議目的端口號(hào)、連接請(qǐng)求方向、ICMP報(bào)文類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過濾表中的規(guī)則時(shí)，則允許數(shù)據(jù)包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對(duì)內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識(shí)別有危險(xiǎn)的信息包，無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理，也無法處理UDP,RPC或動(dòng)態(tài)的協(xié)議。

         b.代理防火墻:

         代理防火墻又稱應(yīng)用層網(wǎng)關(guān)級(jí)防火墻，由代理服務(wù)器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術(shù)結(jié)合在一起。過濾路由器負(fù)責(zé)網(wǎng)絡(luò)互連，并對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格選擇，然后將篩選過的數(shù)據(jù)傳送給代理服務(wù)器。代理服務(wù)器起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器，主要控制哪些用戶能訪問哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來決定是否接受此項(xiàng)服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。代理防火墻無法快速支持一些新出現(xiàn)的業(yè)務(wù)(如多媒體)。現(xiàn)要較為流行的代理服務(wù)器軟件是Win Gate和Proxy Server。

         2.2.3應(yīng)用層系統(tǒng)安全策略

         (1)應(yīng)用層系統(tǒng)安全一方面需要對(duì)應(yīng)用系統(tǒng)進(jìn)行檢測(cè)和修補(bǔ)。

         通過掃描軟件對(duì)重要網(wǎng)段內(nèi)的所有提供網(wǎng)絡(luò)服務(wù)的設(shè)備進(jìn)行漏洞掃描和修補(bǔ)，在條件具備時(shí)掃描范圍應(yīng)該擴(kuò)大到網(wǎng)絡(luò)的所有設(shè)備。

         加強(qiáng)應(yīng)用層系統(tǒng)安全主要可采取3種措施，一是通過基于網(wǎng)絡(luò)的掃描軟件對(duì)重要主機(jī)系統(tǒng)進(jìn)行定期漏洞掃描評(píng)估，發(fā)現(xiàn)漏洞后對(duì)系統(tǒng)及時(shí)進(jìn)行修補(bǔ);二是通過在重要的主機(jī)上(如應(yīng)用服務(wù)器、WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等)安裝基于主機(jī)的實(shí)時(shí)人侵檢測(cè)系統(tǒng)防范各類攻擊;三是建立基于網(wǎng)絡(luò)的防病毒系統(tǒng)。

         (2)應(yīng)用層系統(tǒng)安全的另一方面是用戶口令的安全策略。

        用戶口令是用戶人網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于10個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)控制口令的以下幾個(gè)方面的限制:最小口令長(zhǎng)度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許人網(wǎng)的寬限次數(shù)。

         (3)應(yīng)用層系統(tǒng)安全的再一方面是設(shè)備集中控制策略。

       設(shè)備集中控制采用基于網(wǎng)絡(luò)的設(shè)備集中控制系統(tǒng)對(duì)受限機(jī)器的對(duì)外復(fù)制渠道進(jìn)行控制。中心控制臺(tái)接管所有受限機(jī)器的系統(tǒng)資源，對(duì)受限機(jī)器的終端輸出設(shè)備((USB、軟盤、串并口、紅外接口等)、網(wǎng)絡(luò)文件共享進(jìn)行監(jiān)管。每個(gè)內(nèi)部員工分配1個(gè)固定、唯一的IP地址，并在網(wǎng)絡(luò)安全設(shè)備中將其與MAC地址捆綁起來，則該計(jì)算機(jī)所產(chǎn)生的所有行為視為該員工的行為。

        2.3信息化數(shù)據(jù)及資料安全

        企業(yè)需要存儲(chǔ)海量的生產(chǎn)數(shù)據(jù)信息，更需要保證信息系統(tǒng)的永不停頓以及系統(tǒng)的安全。意外斷電、系統(tǒng)或服務(wù)器崩潰、用戶失誤、磁盤損壞甚至數(shù)據(jù)中心的災(zāi)難性丟失都可能造成數(shù)據(jù)庫(kù)文件的破壞或丟失。而這些文件往往包含著珍貴的數(shù)據(jù)，經(jīng)不得任何損失。數(shù)據(jù)庫(kù)管理員必須對(duì)此有所準(zhǔn)備。在這種情況下，數(shù)據(jù)庫(kù)備份占了舉足輕重的位置。數(shù)據(jù)庫(kù)備份幾乎是任何計(jì)算機(jī)系統(tǒng)中絕對(duì)必需的組成部分。

         數(shù)據(jù)備份主要通過雙機(jī)熱備、數(shù)據(jù)災(zāi)難備份、存儲(chǔ)磁盤陣列等方式共同組成一套企業(yè)級(jí)存儲(chǔ)服務(wù)系統(tǒng)，采用雙機(jī)熱備技術(shù)保證重點(diǎn)服務(wù)器的不間斷運(yùn)行，采用磁盤陣列技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行實(shí)時(shí)備份，采用磁帶機(jī)對(duì)重要數(shù)據(jù)進(jìn)行災(zāi)難備份。再結(jié)合各主機(jī)系統(tǒng)內(nèi)含的數(shù)據(jù)備份程序或各類專業(yè)級(jí)數(shù)據(jù)備份軟件為網(wǎng)內(nèi)的各異構(gòu)系統(tǒng)的計(jì)算機(jī)系統(tǒng)(包括UNIX和Windows系統(tǒng))的關(guān)鍵應(yīng)用提供數(shù)據(jù)庫(kù)的集中式存儲(chǔ)與管理，增強(qiáng)穩(wěn)定性、可用性、安全性，減少由于硬件或其他安全問題帶來的損失。企業(yè)的核心交換機(jī)也采用備份機(jī)制。

         數(shù)據(jù)備份系統(tǒng)在工作的時(shí)候，所有客戶端的數(shù)據(jù)庫(kù)備份任務(wù)都是由主備份服務(wù)器按策略自動(dòng)發(fā)起。針對(duì)不同客戶端服務(wù)器上需要備份數(shù)據(jù)庫(kù)的不同，系統(tǒng)管理員在主備份服務(wù)器上制定每臺(tái)客戶端服務(wù)器不同的數(shù)據(jù)庫(kù)備份運(yùn)行方式，將啟動(dòng)的時(shí)間，備份任務(wù)發(fā)生的時(shí)間間隔等都設(shè)置好。整個(gè)備份網(wǎng)絡(luò)的存儲(chǔ)設(shè)備集中連接到主備份服務(wù)器上。存儲(chǔ)設(shè)備里的存儲(chǔ)介質(zhì)(磁帶)也都由主備份服務(wù)器統(tǒng)一分配使用，備份數(shù)據(jù)流將通過網(wǎng)絡(luò)等方式傳到主服務(wù)器上并最終寫入存儲(chǔ)設(shè)備。目前使用的數(shù)據(jù)庫(kù)備份方案是完全備份和增量備份相結(jié)合的備份方式，通過自動(dòng)化帶庫(kù)及集中的運(yùn)行管理。定期工作人員通過使用備份軟件對(duì)寫人磁帶的數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行校驗(yàn)以保證數(shù)據(jù)的完整性及有效性。

          2.4制度約束

        無論信息泄露的表現(xiàn)形式如何，這類安全違規(guī)事件追究到最后大部分都是由企業(yè)內(nèi)部人員所造成的。因此，解決來自企業(yè)內(nèi)部的信息安全問題應(yīng)以人為核心要解決以上的企業(yè)內(nèi)部信息安全問題，一方面要加強(qiáng)技術(shù)手段，另一方面要完善企業(yè)關(guān)于信息安全問題的相關(guān)管理制度，加強(qiáng)對(duì)員工安全意識(shí)的培訓(xùn)和安全行為的管理。

         在網(wǎng)絡(luò)安全中，除了采用技術(shù)措施之外，還應(yīng)加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等規(guī)章制度，這對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到非常有效的作用。

         3、結(jié)束語

         數(shù)字化化制造企業(yè)由于信息系統(tǒng)覆蓋面更廣、集成度更高，解決面臨的信息安全問題顯得更為棘手。要解決企業(yè)內(nèi)部信息安全問題，一方面要加強(qiáng)技術(shù)手段，另一方面要完善企業(yè)關(guān)于信息安全問題的相關(guān)管理制度，加強(qiáng)對(duì)員工安全意識(shí)的培訓(xùn)和安全行為的管理。在數(shù)字化企業(yè)信息安全模型中，通過采取合理的安全策略、建立專門的安全組織機(jī)構(gòu)、完善安全制度來建立保障數(shù)字化企業(yè)信息安全的長(zhǎng)效機(jī)制;通過加強(qiáng)定期的安全評(píng)估，發(fā)現(xiàn)信息系統(tǒng)中潛在的安全漏洞，以便及時(shí)彌補(bǔ)和修復(fù);通過安全審計(jì)工作，及時(shí)發(fā)現(xiàn)潛在的安全事件，以便及時(shí)進(jìn)行處理，同時(shí)對(duì)安全違規(guī)行為起到威懾作用，減少安全違規(guī)事件。