數字化制造企業將信息技術、現代化管理技術和制造技術相結合并應用到企業產品生命周期全過程和企業運行管理的各個環節，實現產品設計制造、企業管理、生產控制過程以及制造裝備的數字化和集成化，提升了企業產品開發能力、經營管理水平和生產制造能力，從而提高了企業綜合競爭能力。隨著企業數字化建設的深入，企業對信息化建設的要求越來越高，建設全面集成的數字化制造企業成為企業信息化工作的目標。

        1、信息安全問題分類

        在企業信息化工作的開展中，信息安全問題是必須要考慮的首要問題。數字化企業信息安全問題總體上分為信息泄露問題和信息丟失問題。

       1.1信息泄露問題

        數字化企業信息系統覆蓋面廣，不僅涉及到企業內部設計和管理層信息化系統，而且向下延伸到企業生產設備網絡化運行系統。可見信息安全涉及人員和環節多，稍有不慎就會出現信息泄露事件，一旦信息泄露將會對企業造成極大危害。

         1.2信息丟失問題

         數字化企業信息化程度高，一旦出現信息丟失，將可能影響整個企業的運行，使企業處于癱瘓狀態。同時由于對信息的依賴程度高，使得安全問題的“水捅效應”更加明顯，單點的安全問題可能會對企業帶來很大的危害。

         2、安全體系

         針對數字化企業的總體信息安全需求，遵循安全性、可行性、效率性、可承擔性的設計原則，數字化企業的信息安全體系可從物理安全、網絡安全、信息化數據及資料安全、制度約束幾方面進行設計。

         2.1物理安全

         物理安全的目的是保證數據庫服務器、應用服務器、計算機系統、網絡交換機、通訊鏈路以及其他重點生產設備的企業級信息安全，物理安全措施主要包括以下方面。

         (1)建立不同安全區域標志實施不同區域隔離。

        特別是服務器存放的中心機房、涉及企業級保密數據的單位。具體設計中考慮門禁系統，建立出入審查和登記管理制度，對出入活動進行不間斷實時監視記錄。

         (2)抑制和防止電磁泄漏(即TEMPEST技術)。

        目前主要防護措施有2類:一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉禍合。另一類是對輻射的防護，這類防護措施又可分為以下2種:一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對中心機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。

         2.2網絡安全

        2.2.1網絡結構安全

        通過層次設計和分區設計實現網絡之間的訪問控制，網絡結構設計時需要對網絡地址資源分配、VLAN劃分、路由協議選擇、QoS配置等方面進行合理規劃。通過VPN加密信道保障企業分支機構、合作伙伴與總部之間信息傳輸的安全性;通過布置防火墻系統加強了網絡層的安全性;通過在入口防火墻上布置入侵檢測系統動態保護網絡;通過布置訪問控制系統、基于主機的人侵檢測系統，進一步保障關鍵服務器的安全。

         2.2.2訪問控制策略

         訪問控制是網絡安全防范和保護的主要策略，是保證網絡安全最重要的核心策略之一，它的主要任務是保證網絡資源不被非法使用和非常訪問。訪問控制也是維護網絡系統安全、保護網絡資源的重要手段。

        訪問控制采用防火墻(Firewall)對服務器的網絡訪問進行控制，同時對重要服務器安裝專門的訪問控制軟件，對登陸操作系統進行身份識別和審計。

        各種策略必須相互配合才能真正起到保護作用。

         (1)人網訪問控制。

        人網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄并獲取網絡資源，用戶的人網訪問控制可分為3個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的默認限制檢查。3道關卡中只要任何一關未過，該用戶便不能進入該網絡。

        對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸人用戶名和口令，服務器將驗證所輸人的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸人的口令，否則用戶將被拒之網絡之外。網絡管理員可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號只有系統管理員才能建立。

         (2)網絡的權限控制。

         網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。根據訪問權限將用戶分為以下幾類:

         a.特殊用戶(即系統管理員);

         b.一般用戶，系統管理員根據他們的實際需要為他們分配操作權限;

        c.審計用戶，負責網絡的安全控制與資源使用情況的審計。

        用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

         (3)目錄級安全控制。

         網絡應控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種:系統管理員權限(Supervisor )、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)、存取控制權限(Access Control)。網絡系統管理員為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。8種訪問權限的有效組合可以讓用戶有效完成工作，同時又能有效控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

         (4)屬性安全控制。

         當用文件、目錄和網絡設備時，網絡系統管理員給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

         (5)防火墻控制。

         防火墻作為近期發展起來的一種保護計算機網絡安全的技術性措施，是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進l出2個方向通信的門檻。在網絡邊界上通過多級防火墻建立起來的相應網絡通信監控系統來隔離內部和外部網絡、內網不同區域的訪問，對網絡中重要網段加以保護，以阻檔外部網絡的侵入。目前的防火墻主要有以下2種類型。

          a.包過濾防火墻:

包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型( TCP、UDP、ICMP等)、協議源端口號、協議目的