基于Web的企业信息管理系统安全方案
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于Web的企业信息管理系统安全方案范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:分析了传统企业信息管理系统存在的安全问题,应用SSL协议、网络型人侵检测系统、虚拟专用网等技术,提出了一种新的企业信息管理系统安全设计方案。理论分析和实验结果表明,新方案是保证企业信息管理系统安全运行的一种有效方案。
关键词:企业信息管理系统;SSL协议;虚拟专用网;入侵检测系统
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)25-1388-03
Web-based Security Solution for Enterprise Information Management System
CHEN Li-xia1, YANG Chao2
(1.School of Vocational Education, Xidian University, Xi'an 710071, China;2.School of Computer, Xidian University, Xi'an 710071, China)
Abstract: The security problem of traditional enterprise information management system is analyzed and a novel solution is proposed to improve the system security. SSL protocol, network intrusion detection system, and virtual private network are used to solve security problems of the system. Analysis and the experimental results show that this method is more effective than traditional one.
Key words: enterprise information management system; SSL; VPN; NIDS
随着企业网站及管理信息系统被入侵等恶性事件不断出现,网络与信息安全问题日益突出,现有的企业信息管理系统在安全保障方面的不足逐渐暴露出来。因此,本文提出了一种基于web的企业信息管理系统的安全设计方案,采用SSL(Secure Socket Layer)协议为系统提供用户认证提供128位高强度的数据加密能力。采用网络型人侵检测系统(Network Intrusion Detection System),提供对内部、外部攻击和错误操作的实时检测,弥补传统被动防御技术的不足。同时,利用数据库建立权限表严格划分用户权限的类别和级别,利用虚拟专用网(Virtual Private Network)技术,通过对网络数据的封包和加密传输,在公用网络中建立一条达到私有网络安全级别的安全专用通道,从而实现在公网上传输私有数据。
1 系统技术架构和功能模块
1.1 技术架构
由于C/S架构的开发成本较高、升级维护复杂、不能跨越异质异构网络进行访问,而B/S架构的安全性、交互性、响应速度及数据传输速率等方面较差,所以采用单一架构都必然存在一定的缺陷。针对上述问题,本系统设计时采用了C/S和B/S相结合的多层架构设计:对需要较高的安全性、较强的交互性且同时需要处理大量数据的子系统采用C/S架构,对地理位置分散、数据流量小、安全互性要求不高的子系统采用B/S架构。
相比传统的架构,本系统还增加了中间层应用服务器,如图1所示。它封装了所有的业务逻辑,便于维护和扩展,同时避免了Web服务器和C/S架构下用户对数据库服务器的直接访问,进一步提高了系统的安全性。
■
图1 系统技术架构
1.2 功能模块
企业信息管理系统主要由管理系统、物资系统、财务系统、仓库系统、物流系统、人员管理系统、销售系统及系统管理与设置模块组成,如图2所示。
2.1 SSL协议
SSL协议是目前Internet上使用最广泛的安全协议,它有效地防止了在客户端和服务器之间传输的数据被窃听、篡改和伪造,从而保证网络通信的保密性和可靠性。它可以为企业信息管理系统提供3方面的安全服务:客户端及服务器的身份认证、加密传输数据和保证数据的完整性.
SSL协议实现的主要过程分为如下6个步骤:
1) 配置工作环境。在Linux系统下,安装OpenSSL开源工具包openssl0.9.8b和Apache服务器httpd2.0.58,设置相关参数,并安装所要的模块。然后在f中设置证书保存目录、文本型证书数据库、CA证书和私钥目录等;再根据配置文件创建相关目录和文件。
2) 利用OpenSSL命令建立CA证书。首先生成CA证书的1024位RSA密钥对,然后根据这个密钥对创建一个CA证书,命令如下:openssl genrsa-des3 out cakey.pem 1024, openssl req -new -x509 Cdays 365 Ckeyout cakey.pem Cout cacert.pem f,该过程中需要输人相关证书信息。
3) 建立服务器证书。首先生成服务器的证书请求,命令如下:openssl req Cnew Ckey serverkey.pem Cout serverreq.pem -days365.然后利用CA证书对其签发,命令如下:openssl ca Cconfig f Cpolicy policy_anything -out severcert.pem -in serverreq.pem,输人以证书私钥口令,签发成功后生成服务器证书。由于浏览器需要的证书格式为PKCS12,因此还需要进行格式转换,命令如下,openssl pkcsl2 -export- out servercert.pfx Cin servercert.pem。
4) 建立客户端证书。该过程类似服务器证书的建立过程。
5) 服务器端和客户端的配置。在服务器端ssl.conf中设置证书和私钥的相关内容,并建立相应目录和文件。由于客户端需要CA证书和客户端证书,因此将服务器端以证书复制一份,并和客户端证书一起在客户端进行安装,导人浏览器。
6) 启动Apache服务。命令如下:apachectlstartssl,在输人服务器证书私钥口令后,具有SSL功能的Web服务器就实现了。
7) 在客户端浏览器中输人服务器地址,根据提示选择证书,身份认证通过之后,就可以通过SSL协议安全的访问实验室管理系统.在浏览器的状态栏中显示为128位高强度的SSL连接。
2.2 网络型入侵检测系统
本系统的入侵检测部分由3个核心功能模块构成:基于特征匹配的网络人侵检测系统、人侵日志数据库和基于Web的日志分析显示控制台。网络人侵检测系统放置在需要监控入侵行为的网段上,主要采用旁路侦听的方式,动态监视网络上流过的所有数据包,根据用户定义的策略进行检测,识别出网络中的各种事件,并给出报警数据和定位显示。入侵日志数据库主要是从入侵检测系统中收集报警数据,并将它存人到关系数据库中,以便用户可以进行复杂的查询和管理。日志分析控制台是数据显示平台,网络管理员可通过浏览器本地或异地访问主机上的Web服务器,把它作为分析控制台,对报警日志信息进行查询与管理。