论网络安全体系设计

Wlq0415

376人浏览 · 2026-04-29 11:56:47

Wlq0415 · 2026-04-29 11:56:47 发布

论网络安全体系设计

随着社会信息化的普及，计算机网络已经在各行各业得到了广泛的应用。目前，绝大多数业务处理几乎完全依赖计算机和网络执行，各种重要数据如政府文件、工资档案、财务账目和人事档案等均依赖计算机和网络进行存储与传输。另一方面，针对计算机和网络的攻击活动日益猖獗，网络安全已经成为当前社会的主要安全问题之一。

在上述背景下，国家标准《信息处理系统工程开放系统互联基本参考模型——第二部分：安全体系结构》(GB/T 9387.2-1995)定义了基于OSI参考模型7层协议之上的信息安全体系，其核心内容是：为了保证异构计算机进程与进程之间远距离交换信息的安全，定义了认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务等5大类安全服务，以及提供这些服务的8类安全机制及相应的OSI安全管理，并根据具体系统适当配置于OSI模型的7层协议之中。

请围绕“网络安全体系设计”论题，依次从以下三个方面进行论述。

1．概要叙述你参与管理和开发的软件项目以及你在其中承担的主要工作，并详细阐述该软件系统在网络安全方面的要求。

2．请对GB/T 9387.2-1995中定义的5大类安全服务进行描述，阐述每类安全服务的定义和主要实现手段。

3．请结合项目实际，具体阐述你在项目中实现了上述5大类安全服务中的哪些服务，具体运用了哪些实现手段。

论网络安全体系设计

随着社会信息化的普及，计算机网络已经在各行各业得到了广泛的应用。目前，绝大多数业务处理几乎完全依赖计算机和网络执行，各种重要数据如政府文件、工资档案、财务账目和人事档案等均依赖计算机和网络进行存储与传输。另一方面，针对计算机和网络的攻击活动日益猖獗，网络安全已经成为当前社会的主要安全问题之一。

在上述背景下，国家标准《信息处理系统工程开放系统互联基本参考模型——第二部分：安全体系结构》(GB/T 9387.2-1995)定义了基于OSI参考模型7层协议之上的信息安全体系，其核心内容是：为了保证异构计算机进程与进程之间远距离交换信息的安全，定义了认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务等5大类安全服务，以及提供这些服务的8类安全机制及相应的OSI安全管理，并根据具体系统适当配置于OSI模型的7层协议之中。

结合本人参与的中小企业综合ERP管理系统项目建设实践，围绕“网络安全体系设计”论题，从项目概述、五大安全服务解析、项目落地实践三个方面展开论述，兼顾实用性与可操作性，贴合真实项目场景，避免复杂技术堆砌，确保内容真实可落地。

一、项目概述与系统网络安全需求

本人于2022年3月至2022年12月，参与了某中型制造企业（员工约300人，下设生产、销售、财务、人事、仓储5个核心部门，1个异地仓储分支机构）的综合业务ERP管理系统的设计、开发与运维管理工作。该项目由企业信息技术部牵头，联合第三方软件开发公司共同实施，总投资约80万元，核心目标是整合企业现有业务流程，实现财务核算、人事管理、供应链调度、仓储管理、薪资发放、订单管理等业务的数字化、一体化管理，替代原有分散的Excel台账和独立的单机版软件，提升业务处理效率，降低管理成本。

在项目中，我担任企业方技术负责人，主要承担的工作包括：需求调研与梳理、网络架构规划、安全方案设计与落地、服务器与网络设备配置、系统安全测试、员工操作培训以及后期运维保障等。全程参与了项目从需求分析、方案设计、开发实施到上线运行的全流程，重点负责网络安全体系的搭建，确保系统稳定、安全运行，保障企业核心数据不泄露、不被篡改。

结合该制造企业的业务特点和实际运行环境，该ERP系统在网络安全方面的需求贴合中小企业实际，不追求复杂的高端技术，以“实用、可靠、易维护”为核心，具体要求如下：

1. 身份可信要求：企业员工、管理员、异地仓储人员需通过合法身份接入系统，杜绝非法用户、伪造账号登录，防止外部人员冒充内部员工获取系统访问权限；同时区分不同岗位人员的登录权限，避免无关人员接入核心业务模块。

2. 权限可控要求：企业各部门业务分工明确，财务、人事、仓储等核心部门的数据具有较强的保密性，需严格划分岗位权限，确保员工只能访问本岗位工作所需的资源，杜绝越权访问、违规操作，比如普通员工无法查看财务账目、人事档案，仓储人员无法修改订单价格。

3. 数据保密要求：系统中存储的核心数据包括财务账目、员工薪资档案、人事信息、客户订单、仓储库存数据等敏感信息，这些数据在局域网内传输、跨互联网（异地仓储访问）传输以及存储过程中，需防止被窃听、截取、非法查看，避免敏感信息泄露给企业带来损失。

4. 数据完整要求：确保业务数据在传输、存储、修改过程中不被篡改、伪造、删除，比如财务数据的录入、订单信息的修改、库存数据的更新，需保证数据的准确性和一致性，避免因数据篡改导致业务混乱、财务出错。

5. 行为可追溯要求：对系统的关键操作、数据交互、业务审批等行为进行全程记录，包括登录时间、操作人、操作内容、操作结果等，一旦出现数据异常、违规操作，能够快速溯源，杜绝操作后否认、抵赖的行为，明确责任主体。

6. 整体防护要求：结合企业现有网络环境，搭建简单易维护的防护体系，抵御常见的网络威胁，比如病毒感染、恶意入侵、垃圾邮件、端口扫描等，确保系统7×24小时稳定运行，避免因网络安全问题导致业务中断。

此外，考虑到企业技术人员有限，网络安全体系的设计还需兼顾易维护性，避免采用过于复杂的技术方案，确保后期运维人员能够快速上手，及时处理常见的安全问题。

二、GB/T 9387.2-1995 五大安全服务及实现手段

依据GB/T 9387.2-1995国家标准，基于OSI七层参考模型定义的五大安全服务，是构建网络安全体系的核心框架，覆盖了网络通信、数据存储、访问控制等全流程的安全需求，适用于各类信息化系统，尤其贴合中小企业的实际安全建设需求。五大安全服务分别为认证服务、访问控制服务、数据机密性服务、数据完整性服务、抗抵赖性服务，每类服务的定义和主要实现手段如下，结合中小企业实际，重点阐述可落地的实现方式，避免复杂的理论堆砌。

（一）认证服务

**定义**：认证服务是网络安全体系的基础，核心作用是验证通信双方主体身份的合法性，确认访问者、通信对象是否为其声明的合法实体，防止伪造身份、冒充接入等安全风险，确保所有接入系统、参与通信的主体都是可信的。简单来说，就是“确认你是谁”，是后续所有安全防护的前提。

**主要实现手段**：结合中小企业实际，优先采用简单、易维护、成本较低的实现方式，常用手段包括：

1. 账号密码认证：这是最基础、最常用的认证方式，为每个员工分配唯一的账号和密码，密码设置要求包含字母、数字、特殊符号，定期强制更新（如每90天），禁止弱密码（如123456、admin），从基础层面防范非法登录。

2. 动态验证码认证：针对管理员、财务等核心岗位，以及异地仓储人员跨网访问，在账号密码认证的基础上，增加动态验证码（通过手机短信、企业微信推送），每次登录都需要输入随机生成的验证码，进一步提升认证安全性，防止账号密码泄露后被非法使用。

3. 设备绑定认证：限制员工只能在办公电脑、企业指定设备上登录系统，绑定设备的MAC地址，禁止在私人手机、家用电脑等非指定设备上接入，避免账号被盗后异地登录。

4. 双向身份认证：针对异地仓储与总部之间的通信，采用双向认证，不仅验证员工身份，还验证接入设备、网络链路的合法性，确保异地访问的安全性。

（二）访问控制服务

**定义**：访问控制服务是在身份认证通过后，依据预设的安全策略、用户角色、岗位分工，限制用户对网络资源、业务系统、数据库、文件数据的访问范围与操作权限，杜绝越权访问、违规操作，确保“合法的人做合法的事”，保护核心资源不被无关人员访问。

**主要实现手段**：结合中小企业业务分工明确的特点，采用简单易操作的实现方式，常用手段包括：

1. 基于角色的权限控制（RBAC）：这是中小企业最常用的权限管理方式，按部门、岗位划分不同的角色，如管理员、财务专员、人事专员、仓储管理员、普通员工等，为每个角色分配固定的权限，员工登录系统后，自动获得对应角色的权限，无需单独为每个员工分配权限，便于管理和维护。

2. 最小权限分配原则：遵循“按需分配、最小权限”，即员工只获得完成本岗位工作所需的最低权限，不分配无关权限，比如普通员工只能查看自己的薪资信息，不能查看其他员工的薪资档案；仓储管理员只能操作仓储相关模块，不能访问财务模块。

3. 网络防火墙策略：在企业网络边界部署防火墙，配置IP白名单，仅允许企业办公网段、异地仓储固定网段访问ERP系统的业务端口，禁止外部陌生IP接入，从网络层面限制非法访问。

4. 接口访问控制：对系统的API接口进行权限管控，限制不同角色可调用的接口，防止通过接口非法获取、修改数据；同时设置接口访问频率限制，避免恶意请求攻击系统。

（三）数据机密性服务

**定义**：数据机密性服务的核心是保护数据在存储、传输过程中不被非授权人员窃取、窃听与非法查看，避免敏感信息泄露，保障数据隐私与核心业务安全。对于中小企业而言，重点保护财务数据、人事信息、客户信息等敏感数据，防止因数据泄露给企业带来经济损失或声誉影响。

**主要实现手段**：结合中小企业的成本预算和技术能力，采用性价比高、易实现的加密和隔离方式，常用手段包括：

1. 传输加密：系统内网访问采用局域网隔离，跨互联网访问（如异地仓储）采用HTTPS协议，通过TLS加密保障数据传输安全，防止数据在传输过程中被窃听、截取；异地仓储与总部之间采用IPsec VPN加密隧道，确保跨网传输的业务数据不被泄露。

2. 数据存储加密：对数据库中的敏感数据进行字段加密，如员工薪资、财务账目、人事档案等，加密后即使数据库被非法访问，也无法查看真实数据；同时对本地存储的敏感文件（如薪资报表、人事档案）进行文件加密，设置访问密码。

3. 数据脱敏：在系统前端展示敏感数据时，进行脱敏处理，比如展示员工薪资时，隐藏部分数字（如12****56）；展示客户手机号时，隐藏中间4位，避免敏感信息被无关人员查看。

4. 内网分段隔离：将企业内网划分为不同的网段，如办公网段、服务器网段、仓储网段，不同网段之间设置访问限制，禁止随意互通，比如办公网段无法直接访问服务器网段，防止内网人员非法访问核心服务器和数据。

（四）数据完整性服务

**定义**：数据完整性服务用于保证数据在传输、存储、处理过程中不被非法篡改、删除、插入伪造内容，一旦数据被篡改能够及时检测、告警，确保数据的准确一致，避免因数据篡改导致业务混乱、决策失误、财务出错等问题。

**主要实现手段**：结合中小企业的业务场景，采用简单易操作的校验方式，常用手段包括：

1. 哈希摘要校验：对关键业务数据（如财务单据、订单信息、库存数据）进行哈希摘要计算（采用SHA256算法），将计算结果与原始数据一起存储，数据传输或修改后，重新计算哈希值并与原始值对比，若不一致则说明数据被篡改，及时告警。

2. 数据校验码：在数据传输过程中，为每个数据包添加校验码，接收端收到数据后，通过校验码验证数据是否完整、是否被篡改，若校验失败则拒绝接收数据，要求重新传输。

3. 事务完整性控制：在数据库中开启事务约束，确保数据的增删改操作要么全部成功，要么全部失败，避免因操作中断导致数据不完整，比如财务记账时，若其中一笔分录失败，整个记账操作回滚，确保财务数据的完整性。

4. 防篡改策略：部署简单的入侵防护设备，拦截恶意篡改、数据包注入等常见攻击行为；同时禁止普通员工修改核心数据，核心数据的修改需经过管理员审批，修改后留存记录。

（五）抗抵赖性服务

**定义**：抗抵赖性服务用于防止通信双方或业务操作人员对已发生的操作行为、数据交互、业务审批等行为进行事后否认，实现操作行为全程可追溯、可取证，明确责任主体，避免因操作抵赖导致的纠纷或责任无法认定。

**主要实现手段**：结合中小企业的实际需求，重点实现操作留痕和可追溯，常用手段包括：

1. 安全审计日志：搭建简单的日志审计平台，全程记录用户登录、数据查询、单据修改、审批操作、文件导出、系统配置变更等所有行为，日志包含操作人、操作时间、操作内容、操作IP、操作结果等信息，日志不可手动删除、篡改，保存期限不少于6个月。

2. 操作流水记录：对核心业务操作（如财务付款、订单确认、库存调整）进行流水记录，每一笔操作都生成唯一的流水号，关联操作人、操作时间，便于后续溯源查询。

3. 电子签章与时间戳：对关键业务审批单据（如采购审批、付款审批）加盖电子签章和时间戳，确认审批人的身份和审批时间，避免审批人事后否认审批行为。

4. 运维操作记录：对服务器登录、网络配置修改、系统维护等运维操作进行单独记录，明确运维人员的操作行为，避免因运维操作失误或恶意操作导致安全问题后，无法认定责任。

三、项目中安全服务落地实践与具体实现

结合本次中小企业ERP管理系统的业务特点、安全需求以及企业的技术能力和成本预算，我们没有采用复杂的高端安全技术，而是以GB/T 9387.2-1995定义的五大安全服务为框架，结合企业实际，采用“实用、可靠、易维护”的方案，将五大安全服务全面落地到系统建设、网络架构、运维管理全流程，具体实现过程贴合真实项目场景，避免理论化，确保可落地、可维护。

（一）认证服务落地实践

结合企业员工数量不多、岗位分工明确的特点，我们采用“基础认证+核心岗位强化认证”的方式，实现认证服务的落地，具体操作如下：

1. 基础认证实现：为企业300余名员工、10余名管理员分别分配唯一的系统账号，账号采用“部门缩写+员工工号”的格式（如财务部门员工账号为CW-001），初始密码统一设置为“企业简称+工号后6位”，员工首次登录后必须修改密码，密码要求包含字母、数字、特殊符号，长度不少于8位，系统设置密码有效期为90天，到期后强制更新，同时禁止使用最近3次使用过的密码，从基础层面防范弱密码风险。

2. 核心岗位强化认证：针对管理员、财务专员、人事专员等核心岗位，以及异地仓储的15名工作人员，在账号密码认证的基础上，增加动态验证码认证。员工登录时，系统通过企业微信向其推送6位随机动态验证码，验证码有效期为5分钟，输入正确的验证码后才能完成登录；同时，绑定员工的办公电脑MAC地址，禁止在非办公设备上登录核心岗位账号，若有特殊情况需要异地登录，需向管理员申请临时授权，授权有效期不超过24小时。

3. 登录安全防护：系统设置登录失败次数限制，连续5次输入错误密码，账号自动锁定1小时，防止暴力破解；同时，记录所有登录行为，包括登录时间、登录IP、登录设备、登录结果，若出现异地登录、异常IP登录，系统及时向管理员发送告警信息，管理员可及时核实是否为非法登录。

通过以上措施，有效杜绝了非法用户、伪造账号接入系统的风险，确保所有接入系统的主体都是可信的，为后续的安全防护奠定了基础。

（二）访问控制服务落地实践

基于企业各部门业务分工明确的特点，我们采用RBAC角色权限模型，结合最小权限原则，实现访问控制服务的落地，具体操作如下：

1. 角色划分与权限分配：根据企业的组织架构和业务流程，划分了7类核心角色，分别为系统管理员、财务管理员、财务专员、人事管理员、人事专员、仓储管理员、普通员工，每个角色的权限严格按照岗位分工分配，具体如下：

（1）系统管理员：拥有系统全部操作权限，负责系统配置、用户管理、权限分配、日志查看、安全维护等工作；

（2）财务管理员：负责财务模块的整体管理，可查看所有财务数据、审批财务单据、修改财务配置等；

（3）财务专员：只能操作财务核算、薪资发放、发票管理等基础财务工作，只能查看自己负责的财务数据，无法修改核心财务配置；

（4）人事管理员：负责人事模块的整体管理，可查看所有人事档案、审批人事流程、修改人事配置等；

（5）人事专员：只能操作员工信息录入、考勤统计、薪资核算基础数据录入等工作，无法查看敏感人事档案（如员工奖惩记录）；

（6）仓储管理员：只能操作仓储模块，负责库存录入、库存调整、订单出库入库等工作，无法访问财务、人事模块；

（7）普通员工：只能查看自己的个人信息、薪资信息、工作任务，无法访问核心业务数据和系统配置。

2. 网络层面访问控制：在企业网络边界部署小型企业级防火墙，配置IP白名单，仅允许企业办公网段（192.168.1.0/24）、异地仓储网段（192.168.2.0/24）访问ERP系统的业务端口（8080端口、443端口），禁止外部陌生IP接入；同时，关闭服务器多余的端口（如21端口、23端口）和无用服务，避免端口泄露带来的安全风险。

3. 权限管控维护：建立权限申请、变更、注销流程，员工岗位变动时，及时变更其角色和权限；员工离职时，立即注销其系统账号，收回所有权限，避免离职员工非法访问系统；每月对系统权限进行一次排查，清理无用账号和多余权限，确保权限分配符合最小权限原则。

（三）数据机密性服务落地实践

针对企业敏感数据（财务数据、人事信息、库存数据）的保护需求，我们采用“传输加密+存储加密+数据脱敏”的方式，实现数据机密性服务的落地，具体操作如下：

1. 传输加密实现：系统内网访问采用局域网隔离，禁止外部网络接入内网；异地仓储与总部之间的通信，采用IPsec VPN加密隧道，员工通过VPN客户端接入总部网络后，才能访问ERP系统，确保跨网传输的业务数据不被窃听、截取；系统所有对外访问（包括内网访问）均采用HTTPS协议，通过TLS 1.2加密，替换原有HTTP协议，防止数据在传输过程中被泄露。

2. 存储加密实现：对数据库中的敏感数据进行字段加密，采用AES加密算法，重点加密员工薪资、财务账目、人事档案、客户手机号等敏感字段，加密密钥由系统管理员统一管理，定期更换；同时，对服务器本地存储的敏感文件（如薪资报表、人事档案Excel、财务备份文件）进行文件加密，设置访问密码，只有授权人员才能打开查看。

3. 数据脱敏实现：在系统前端展示敏感数据时，进行脱敏处理，具体如下：员工薪资展示为“****元”（仅管理员和本人可查看完整薪资）；客户手机号展示为“138****1234”；员工身份证号展示为“110101****1234”；财务账目仅展示对应岗位负责的部分，普通员工无法查看完整财务数据。

4. 内网分段隔离：将企业内网划分为办公网段、服务器网段、仓储网段，不同网段之间设置访问限制，办公网段的员工无法直接访问服务器网段，服务器网段仅允许管理员和授权运维人员访问，仓储网段只能访问仓储相关的服务器资源，防止内网人员非法访问核心数据和服务器。

（四）数据完整性服务落地实践

结合企业业务场景，重点保障财务数据、订单数据、库存数据的完整性，采用“哈希校验+数据校验+事务控制”的方式，实现数据完整性服务的落地，具体操作如下：

1. 哈希摘要校验：对财务单据、订单信息、库存数据等关键业务数据，在传输和存储过程中，采用SHA256算法计算哈希摘要，将哈希摘要与原始数据一起存储，数据传输或修改后，重新计算哈希值并与原始值对比，若不一致则说明数据被篡改，系统立即发出告警，同时拒绝该操作，要求重新提交或传输数据。

2. 数据校验实现：在系统前端和后端分别添加数据校验机制，前端校验数据格式（如手机号、身份证号格式），后端校验数据合法性（如库存数量不能为负数、订单价格不能为0），防止恶意篡改数据后提交；同时，在数据传输过程中，为每个数据包添加校验码，接收端收到数据后，通过校验码验证数据是否完整，若校验失败则拒绝接收，要求重新传输。

3. 事务完整性控制：在数据库中开启事务约束，针对财务记账、订单确认、库存调整等核心业务操作，采用事务机制，确保操作要么全部成功，要么全部失败，避免因操作中断、系统故障导致数据不完整。例如，财务专员录入一笔记账凭证时，若其中一笔分录录入错误，整个记账操作回滚，不会出现部分分录成功、部分失败的情况，确保财务数据的完整性。

4. 防篡改防护：部署小型入侵防护设备，拦截恶意篡改、数据包注入、SQL注入等常见攻击行为；同时，禁止普通员工修改核心数据，核心数据（如财务账目、订单价格）的修改需经过管理员审批，修改后留存操作记录，确保数据修改可追溯。

（五）抗抵赖性服务落地实践

结合企业的管理需求，重点实现操作行为的全程留痕和可追溯，采用“日志审计+操作流水+电子签章”的方式，实现抗抵赖性服务的落地，具体操作如下：

1. 安全审计日志：搭建简单的日志审计平台，集成在ERP系统中，全程记录所有用户的操作行为，包括登录日志、操作日志、数据查询日志、文件导出日志、系统配置日志等，日志包含操作人、操作时间、操作内容、操作IP、操作设备、操作结果等信息，日志不可手动删除、篡改，保存期限设置为12个月，便于后续溯源查询。

2. 操作流水记录：对核心业务操作（如财务付款、订单确认、库存调整、人事审批）进行流水记录，每一笔操作都生成唯一的流水号，流水号包含操作日期、操作类型、操作人信息，关联操作详情，员工无法删除或修改操作流水，管理员可通过流水号快速查询操作记录，明确操作责任。

3. 电子签章与时间戳：对关键业务审批单据（如采购审批单、付款审批单、人事任免审批单），系统自动加盖审批人的电子签章和时间戳，电子签章与审批人账号绑定，时间戳同步系统当前时间，无法篡改，确保审批人的身份和审批时间可追溯，避免审批人事后否认审批行为。

4. 运维操作记录：对服务器登录、网络配置修改、系统维护、数据备份等运维操作，进行单独记录，明确运维人员的操作行为、操作时间、操作内容，运维操作记录由系统管理员统一管理，不可篡改，若出现运维操作导致的安全问题，可快速定位责任人，避免责任抵赖。

四、项目安全落地效果与总结

本次中小企业ERP管理系统项目，基于GB/T 9387.2-1995定义的五大安全服务，结合企业实际需求，采用“实用、可靠、易维护”的安全方案，将五大安全服务全面落地到系统建设、网络架构、运维管理全流程，没有追求复杂的高端技术，重点解决企业实际面临的身份认证、权限控制、数据保密、数据完整、抗抵赖等安全问题，贴合中小企业的技术能力和成本预算。

系统上线运行以来，未发生过非法登录、数据泄露、数据篡改、操作抵赖等安全问题，有效抵御了病毒感染、恶意入侵、弱密码攻击等常见网络威胁，保障了企业核心业务数据的安全，确保了ERP系统7×24小时稳定运行，提升了企业的业务处理效率和管理水平。同时，安全体系的设计贴合企业实际，易维护、易操作，企业技术人员能够快速上手，及时处理常见的安全问题，降低了运维成本。

通过本次项目实践，我深刻认识到，网络安全体系设计不是简单的技术堆砌，而是要结合系统的业务特点、实际需求、技术能力和成本预算，以国家标准为框架，构建“贴合实际、可落地、可维护”的安全体系。对于中小企业而言，网络安全体系的核心是“实用、可靠”，无需追求复杂的高端技术，重点解决核心安全风险，确保业务数据安全和系统稳定运行即可。

未来，随着网络威胁的不断升级，以及企业业务的不断发展，我们将持续优化安全策略，结合零信任、动态防护等新技术，完善网络安全体系，定期进行安全检测和漏洞修复，加强员工安全培训，提高员工的安全意识，实现安全与业务的协同发展，为企业的信息化建设提供可靠的安全保障。