基于Web的MES系统安全架构设计及分析(2)

基于Web的MES系统安全架构设计及分析

3.2.2基于角色的访问控制

在对MES系统业务功能、业务流程及其干系人分析整理的基础上，能够抽象出系统的各种用户角色，每种角色通过一组系统功能完成一定的业务处理，需要将这一组系统功能赋予该角色，使其具有完成这一业务的能力，也就形成了允许访问控制表，包括菜单的允许访问列表和功能的允许操作列表。

为了构成系统的完全访问边界，需要明确禁止某类操作。因此设计了禁止访问控制表，包括：菜单的禁止访问列表和功能的禁止操作列表。

3.2.3用户及权限管理

构建了角色的访问控制，将角色赋予用户，用户即具备了相应的访问权限。在企业的MES应用中，每个企业用户都具有一个系统访问账号，这个账号是用户身份的唯一标识。为保证系统账号的合法性，所有用户的账号只能由系统的账号管理员进行分配和管理。同时，每个用户在企业承担着某个岗位的职责，对应于MES系统来说，这个用户就具备着一个或者多个系统角色，通过角色权限的控制形成用户的权限控制。本着最小权限的原则，应当合理分配和控制角色权限，并通过禁止访问控制表限制用户的`访问范围，构成系统的安全访问边界。

3.3 安全运行管理

多数MES系统都采用单一管理员(甚至是超级用户)对系统进行管理。虽然简单易行，但却存在巨大安全隐患。一旦管理员账号信息泄露，其他安全措施将形同虚设。因此必须进行系统权限的分割，使其相互制约，避免权限过分集中。本架构的划分策略：首先是用户管理员，只负责企业用户账号的分配、锁定和吊销，用户岗位角色的分配，以及用户密码的复位操作其次是安全管理员，负责菜单与功能矩阵的维护，以及角色访问控制列表的制定。

用户管理员和安全管理员相互制约，只有协调一致才能够完成用户的权限分配。同时又可以分级管理，按照分厂、车间等组织架构，或者依据业务范围，划分出不同层级、不同范围的用户管理员和安全管理员，他们只能在自己的权限范围内行使权力。由此形成了可集中管理也可分化管理的技术模型，企业可以依据自身规模和管理模式灵活组织设计。

3.4 系统安全审计

本架构设计了完备的行为捕获和记录系统，对系统关键执行动作留有记录，对用户的操作和行踪留有日志，同时记录了非法用户的入侵尝试，且满足不可抵赖性，形成可靠证据。尤其是用户和安全管理员的所有操作，是系统监控的重点。企业安全审计人员可以随时调取这些记录，进行审计，一旦发现有违反安全策略的行为，即可对行为后果进行调查，采取相应处理措施。

3.5 会话安全策略

HTTP是一个无状态的协议，此协议无法维护两个事务之间的联系，而MES系统的大量应用需要与用户进行交互操作，并且记录这些交互，这就需要保持会话状态。会话状态通常需要在客户端cookie中记录用户信息，或者是在服务器端session中记录，但也需要在用户请求与服务器应用程序间传递一个会话ID，这些信息都会成为攻击的对象，一旦被窃取，会话就可能被冒用，成为会话劫持，造成超越权限的访问和数据操作。为防范此类攻击，一方面对用户信息、会话ID等薄弱环节采取加密措施，增加截获难度。另一方面制定安全策略监视会话状态，进行会话锁定和异常保护及报警。

会话锁定：提供交互式会话的锁定和解锁能力及终止会话能力。在会话进入非活动周期后对终端进行锁定或结束会话。在用户的静止期超过规定的值时，通过以下方式锁定该用户的交互式会话：(1)在显示设备上清除或涂抹，使当前的内容不可读(2)取消会话解锁之外的所有用户数据的存取/显示的任何活动(3)在会话解锁之前再次进行身份鉴别。

异常保护及报警：在会话期间通过用户请求进行监视分析用户操作行为，对异常行为采取操作保护动作，并产生记录和报警，如频繁、重复的数据操作，或者同一用户在不同地点创建多个会话的请求等等。

3.6 Web安全防护策略

基于Web的MES系统遭受的典型网络攻击事件包括SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等，只有建立涵盖事前、事中、事后的综合防控体系，事前及时识别隐患和漏洞并采取修补措施，事中实时监测，积极防御，早发现，早处置，才能将风险和损失降到最小。

本架构针对Web设计了安全防护策略，实现自动化的Web漏洞检测，以及对网页被挂马、网页被篡改、网页出现敏感信息、系统被拒绝服务等攻击事件的一体化监测预警。从而帮助企业构建自动化的系统安全监测系统，第一时间掌握MES应用的安全状况，降低系统安全风险，增强安全防护等级。

4 MES系统运行安全的防护措施

MES系统的运行安全不能仅仅依靠MES自身的安全设计，需要根据企业对MES的技术经济要求，综合考虑信息安全技术和安全管理与防护措施。

在物理安全层面，建立MES系统安全运行相适应的安全环境，包括机房安全防护、设备安全可用、存储介质安全等。

数据库系统的安全至关重要，需要对数据依据其敏感性进行分类进行不同强度的加密，防止敏感信息泄露。同时数据库要制定有备份和容灾措施，数据库管理人员定时对系统进行备份，防止系统数据损坏和丢失。一旦在系统崩溃或瘫痪的情况下，可利用备份数据迅速将系统恢复起来。

在运行安全方面，通过安全风险分析与评估，制定系统安全运行策略，建立安全检测与监控机制，加强安全审计和系统边界安全防护，采用防火墙、安全认证、入侵检测等措施来阻止攻击，综合运用数据加密和VPN等技术，对包括计算机病毒在内的恶意代码进行必要的安全防护，确保网络传输的安全要求。运用入侵检测技术，主动保护MES系统免受攻击，为MES系统提供了实时保护，是防火墙之后的第二道安全闸门。

依据国家计算机应急响应中心发布的数据，信息系统安全问题中的95%是可以通过科学的信息安全管理措施来避免。因此，加强信息安全意识，制定有效的安全运维策略是保障信息安全的重要基础，已经成为企业管理的一个重要组成部分。

“人在江湖漂，哪能不挨刀”--这应该算得上是引用率非常高的一句经典俏皮话。如今，企业在网络中如何避免这句谶语落到自家头上也成了企业互相慰问或扪心自问时常常想起的一件事。而在构建安全的企业网络这样一个并不简单的问题上，看看别人的应用实践和组网思路，应该可以让企业尽早懂得如何利用自己的长处来保护自己。 网络江湖防身术 - 实践中，网络平台从总体上可以分为用户接入区和应用服务区。应用服务区从结构上又可以分成三部分:发布区即外部区域，面向公众供直接访问的开放网络数据区，通过防火墙隔离的、相对安全和封闭的数据资源区，把大量重要的信息资源服务器放置在该区域内，在较严密的安全策略控制下，不直接和外网访问用户发生连接内部工作区主要连接内网服务器和工作站，完成网站管理、信息采集编辑等方面的工作。 布阵 采用两台防火墙将整个网络的接入区和应用服务区彻底分开。接入区通过接入交换机，利用光纤、微波、电话线等通信介质，实现各部门、地市的网络接入。出于性能和安全上的考虑，数据区放在第二道防火墙之后。对于Web服务器的服务请求，由Web服务器提交应用服务器、数据库服务器后，进行相关操作。 为避免网站内容遭到入侵后被篡改，在数据区还设置一个Web页面恢复系统，通过内部通讯机制，Web恢复系统会实时检测WWW服务器的页面内容，如果发现未授权的更改，恢复系统会自动将一份拷贝发送到Web服务器上，实现Web页面的自动恢复。发布区域的主机充分暴露，有WWW、FTP、DNS、E-mail。在与二个防火墙的两个接口上使用入侵检测系统实时检测网络的使用情况，防止对系统的滥用和入侵行为。 中心交换机可选用高性能路由交换器，例如Catalyst 6000，它具有提供虚网划分及内部路由连接功能，避免了网络广播风暴，减轻了网络负荷，同时也提供了一定的安全性。冗余电源及冗余连接为网络正常运行打下了较好的基础，把第二层交换机的转发性能和路由器的可伸缩性及控制能力融于一身。第二级交换机可选用类似Catalyst 3500级别的设备，它支持VLAN功能，交换能力强大，提供高密度端口集成，配置光纤模块，提供与Catalyst 6000的高带宽上行连接，保证了部门接入网络、工作站的高带宽应用。 网络平台总体结构图 招数 首先，把第一台防火墙设置在路由器与核心交换机之间，实现较粗的访问控制，以降低安全风险。设置第二台防火墙则主要为了保护数据区内的服务器，合理地配置安全策略，使服务器的安全风险降到最低。只开放服务器必要的服务端口，对于不必要的服务端口一律禁止。 其次，IP地址分配。所有部门的接入网络都在防火墙之后，一律使用内部保留IP地址。每个部门各分配一个完整的C类地址。 再次，中心交换机VLAN配置。具体划分采用基于端口的虚拟LAN方式，将每一个部门作为一个 VLAN， VLAN间的路由协议采用 RIP。 此外，通用信息服务设计。外网的建设，突出了统一规划、资源共享的原则。除了在安全问题上由网络平台统一考虑外，对于各部门需要通用的信息服务系统如域名系统、邮件系统、代理系统等，也统一设计、统一实施。 最后，邮件服务器统一规划，采用集中的邮件服务，给用户提供了完整的TCP/IP支持下的邮件系统。 秘笈 网站建设主要体现以下技术特点: 其一，网站应用系统从传统的两层客户机/服务器结构，转向BWAD(浏览器+Web 应用服务器+数据库)的三层体系架构。这种跨平台、多技术融合的三层结构的技术方案，保证网站应用系统的先进性和可扩展性。 其二，采用非结构化和结构化数据库技术，灵活支持、方便扩展宽带应用和多媒体应用，使用户界面不只是文字和图片，而是以文字、声音、图像、视频等发布的全媒体界面,提高用户的关注率、提升服务水平。 其三，采用自主开发的网站动态管理平台技术，可以任意组合和改变网页界面风格，定义不同模板，将网站管理的人力成本降低，并降低由于网站管理复杂而产生的技术风险和人员更迭风险。降低和减少了页面开发的工作量，使大量的人力可以投入到具体的政务应用系统中去。 其四，网站管理系统为网站的建设、管理、维护、统计分析提供了一个统一的环境。提供各类业务系统上网发布接口，以及信息发布模板和工具，使普通用户不需要编程就可建立信息发布栏目，并可自行对栏目信息进行编辑与维护。网站管理系统具有灵活的功能，方便的内容创作环境，灵活的发布方式，强大的信息查询能力，能进行实用而有效的模板设计、支持丰富的内容类型，按照栏目结构进行信息组织。它采用了ASP、JSP和数据库的技术，基于B/S结构，还可以对用户的IP地址进行限定信息检索功能。 战绩 从运行的效果上看，所设定的方案合理、可靠，有效地保护了内部网络，因为所有的访问都是一个间接过程，直接攻击比较困难。代理技术的使用，随着内部网络规模的扩大，重复访问的可能性就越大，使传输效果的改善也就越明显，同时也提高了信道的利用率，降低了网络使用成本。

常见的服务器架构有以下三种：服务器集群架构：服务器集群就是指将很多服务器集中起来一起进行同一种服务，在客户端看来就像是只有一个服务器。集群可以利用多个计算机进行并行计算从而获得很高的计算速度，也可以用多个计算机做备份，从而使得任何一个机器坏了整个系统还是能正常运行。服务器负载均衡架构：负载均衡 （Load Balancing） 建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。分布式服务器架构：所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上，而是分散到多个服务器，以网络上分散分布的地理信息数据及受其影响的数据库操作为研究对象的一种理论计算模型服务器形式。分布式有利于任务在整个计算机系统上进行分配与优化，克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷，解决了网络GIS 中存在的数据异构、数据共享、运算复杂等问题，是地理信息系统技术的一大进步。这个三种架构都是常见的服务器架构，集群的主要是IT公司在做，可以保障重要数据安全；负载均衡主要是为了分担访问量，避免临时的网络堵塞，主要用于电子商务类型的网站；分布式服务器主要是解决跨区域，多个单个节点达到高速访问的目前，一般是类似CDN的用途的话，会采用分布式服务器。

---