败家小歪歪
基于Web的MES系统安全架构设计及分析
3.2.2基于角色的访问控制
在对MES系统业务功能、业务流程及其干系人分析整理的基础上,能够抽象出系统的各种用户角色,每种角色通过一组系统功能完成一定的业务处理,需要将这一组系统功能赋予该角色,使其具有完成这一业务的能力,也就形成了允许访问控制表,包括菜单的允许访问列表和功能的允许操作列表。
为了构成系统的完全访问边界,需要明确禁止某类操作。因此设计了禁止访问控制表,包括:菜单的禁止访问列表和功能的禁止操作列表。
3.2.3用户及权限管理
构建了角色的访问控制,将角色赋予用户,用户即具备了相应的访问权限。在企业的MES应用中,每个企业用户都具有一个系统访问账号,这个账号是用户身份的唯一标识。为保证系统账号的合法性,所有用户的账号只能由系统的账号管理员进行分配和管理。同时,每个用户在企业承担着某个岗位的职责,对应于MES系统来说,这个用户就具备着一个或者多个系统角色,通过角色权限的控制形成用户的权限控制。本着最小权限的原则,应当合理分配和控制角色权限,并通过禁止访问控制表限制用户的`访问范围,构成系统的安全访问边界。
3.3 安全运行管理
多数MES系统都采用单一管理员(甚至是超级用户)对系统进行管理。虽然简单易行,但却存在巨大安全隐患。一旦管理员账号信息泄露,其他安全措施将形同虚设。因此必须进行系统权限的分割,使其相互制约,避免权限过分集中。本架构的划分策略:首先是用户管理员,只负责企业用户账号的分配、锁定和吊销,用户岗位角色的分配,以及用户密码的复位操作;其次是安全管理员,负责菜单与功能矩阵的维护,以及角色访问控制列表的制定。
用户管理员和安全管理员相互制约,只有协调一致才能够完成用户的权限分配。同时又可以分级管理,按照分厂、车间等组织架构,或者依据业务范围,划分出不同层级、不同范围的用户管理员和安全管理员,他们只能在自己的权限范围内行使权力。由此形成了可集中管理也可分化管理的技术模型,企业可以依据自身规模和管理模式灵活组织设计。
3.4 系统安全审计
本架构设计了完备的行为捕获和记录系统,对系统关键执行动作留有记录,对用户的操作和行踪留有日志,同时记录了非法用户的入侵尝试,且满足不可抵赖性,形成可靠证据。尤其是用户和安全管理员的所有操作,是系统监控的重点。企业安全审计人员可以随时调取这些记录,进行审计,一旦发现有违反安全策略的行为,即可对行为后果进行调查,采取相应处理措施。
3.5 会话安全策略
HTTP是一个无状态的协议,此协议无法维护两个事务之间的联系,而MES系统的大量应用需要与用户进行交互操作,并且记录这些交互,这就需要保持会话状态。会话状态通常需要在客户端cookie中记录用户信息,或者是在服务器端session中记录,但也需要在用户请求与服务器应用程序间传递一个会话ID,这些信息都会成为攻击的对象,一旦被窃取,会话就可能被冒用,成为会话劫持,造成超越权限的访问和数据操作。为防范此类攻击,一方面对用户信息、会话ID等薄弱环节采取加密措施,增加截获难度。另一方面制定安全策略监视会话状态,进行会话锁定和异常保护及报警。
会话锁定:提供交互式会话的锁定和解锁能力及终止会话能力。在会话进入非活动周期后对终端进行锁定或结束会话。在用户的静止期超过规定的值时,通过以下方式锁定该用户的交互式会话:(1)在显示设备上清除或涂抹,使当前的内容不可读;(2)取消会话解锁之外的所有用户数据的存取/显示的任何活动;(3)在会话解锁之前再次进行身份鉴别。
异常保护及报警:在会话期间通过用户请求进行监视分析用户操作行为,对异常行为采取操作保护动作,并产生记录和报警,如频繁、重复的数据操作,或者同一用户在不同地点创建多个会话的请求等等。
3.6 Web安全防护策略
基于Web的MES系统遭受的典型网络攻击事件包括SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等,只有建立涵盖事前、事中、事后的综合防控体系,事前及时识别隐患和漏洞并采取修补措施,事中实时监测,积极防御,早发现,早处置,才能将风险和损失降到最小。
本架构针对Web设计了安全防护策略,实现自动化的Web漏洞检测,以及对网页被挂马、网页被篡改、网页出现敏感信息、系统被拒绝服务等攻击事件的一体化监测预警。从而帮助企业构建自动化的系统安全监测系统,第一时间掌握MES应用的安全状况,降低系统安全风险,增强安全防护等级。
4 MES系统运行安全的防护措施
MES系统的运行安全不能仅仅依靠MES自身的安全设计,需要根据企业对MES的技术经济要求,综合考虑信息安全技术和安全管理与防护措施。
在物理安全层面,建立MES系统安全运行相适应的安全环境,包括机房安全防护、设备安全可用、存储介质安全等。
数据库系统的安全至关重要,需要对数据依据其敏感性进行分类进行不同强度的加密,防止敏感信息泄露。同时数据库要制定有备份和容灾措施,数据库管理人员定时对系统进行备份,防止系统数据损坏和丢失。一旦在系统崩溃或瘫痪的情况下,可利用备份数据迅速将系统恢复起来。
在运行安全方面,通过安全风险分析与评估,制定系统安全运行策略,建立安全检测与监控机制,加强安全审计和系统边界安全防护,采用防火墙、安全认证、入侵检测等措施来阻止攻击,综合运用数据加密和VPN等技术,对包括计算机病毒在内的恶意代码进行必要的安全防护,确保网络传输的安全要求。运用入侵检测技术,主动保护MES系统免受攻击,为MES系统提供了实时保护,是防火墙之后的第二道安全闸门。
依据国家计算机应急响应中心发布的数据,信息系统安全问题中的95%是可以通过科学的信息安全管理措施来避免。因此,加强信息安全意识,制定有效的安全运维策略是保障信息安全的重要基础,已经成为企业管理的一个重要组成部分。
最爱尛草莓
所谓MIS(管理信息系统--Management Information System)系统,主要指的是进行日常事物操作的系统。这种系统主要用于管理需要的记录,并对记录数据进行相关处理。MIS系统通常用于系统决策,例如,可以利用MIS系统找出目前迫切需要解决的问题,并将信息及时反馈给上层管理人员,使他们了解当前工作发展的进展或不足。换句话说,MIS系统的最终目的是使管理人员及时了解公司现状,把握将来的发展路径。 基于Web的MIS系统是对传统MIS系统概念上的扩展,它不仅可以用于高层决策,而且可以用于进行普通的商务管理。通过用户的具名登录(或匿名登录),以及相应的权限控制,可以实现在远端对系统的浏览、查询、控制和审阅。随着Internet的扩展,现有的公司和学校不再局限于物理的有形的真实的地域,网络本身成为事实上发展的空间。换句话说,"数字化生存"归根到底就是"网络化生存",网络将成为人们之间交流和通讯的最直接,也是最便捷的工具。 基于Web的MIS系统同传统的MIS技术有相似也有区别。相似之处在于技术的理念;区别之处在于技术的实现。 传统的MIS系统的核心是CS(Client/Server--客户端/服务器)架构,而基于Web的MIS系统的核心是BS(Browser/Server--浏览器/服务器)架构。BS架构比起CS架构有着很大的优越性,传统的MIS系统依赖于专门的操作环境,这意味着操作者的活动空间受到极大限制;而BS架构则不需要专门的操作环境,在任何地方,只要能上网,就能够操作MIS系统,这其中的优劣差别是不言而喻的。 基于Web的MIS系统,弥补了传统MIS系统的不足,充分体现了现代网络时代的特点。随着网络技术的高速发展,因特网必将成为人类新社会的技术基石。基于Web的MIS系统必将成为网络时代的新一代管理信息系统,前景极为乐观。 所谓MIS(管理信息系统--Management Information System)系统 ,是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。 是一门新兴的科学,其主要任务是最大限度的利用现代计算机及网络通讯技术加强企业的信息管理,通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。目前,企业的计算机网络已成为企业进行技术改造及提高企业管理水平的重要手段。随着我国与世界信息高速公路的接轨,企业通过计算机网络获得信息必将为企业带来巨大的经济效益和社会效益,企业的办公及管理都将朝着高效、快速、无纸化的方向发展。MIS系统通常用于系统决策,例如,可以利用MIS系统找出目前迫切需要解决的问题,并将信息及时反馈给上层管理人员,使他们了解当前工作发展的进展或不足。换句话说,MIS系统的最终目的是使管理人员及时了解公司现状,把握将来的发展路径。 一个完整的MIS应包括:辅助决策系统(DSS)、工业控制系统(IPC)、办公自动化系统(OA)以及数据库、模型库、方法库、知识库和与上级机关及外界交换信息的接口。其中,特别是办公自动化系统(OA)、与上级机关及外界交换信息等都离不开Intranet的应用。可以这样说,现代企业MIS不能没有Intranet,但Intranet的建立又必须依赖于MIS的体系结构和软硬件环境。 传统的MIS系统的核心是CS(Client/Server——客户端/服务器)架构,而基于Internet的MIS系统的核心是BS(Browser/Server——浏览器/服务器)架构。BS架构比起CS架构有着很大的优越性,传统的MIS系统依赖于专门的操作环境,这意味着操作者的活动空间受到极大限制;而BS架构则不需要专门的操作环境,在任何地方,只要能上网,就能够操作MIS系统,这其中的优劣差别是不言而喻的。 基于Internet上的MIS系统是对传统MIS系统概念上的扩展,它不仅可以用于高层决策,而且可以用于进行普通的商务管理。通过用户的具名登录(或匿名登录),以及相应的权限控制,可以实现在远端对系统的浏览、查询、控制和审阅。随着Internet的扩展,现有的公司和学校不再局限于物理的有形的真实的地域,网络本身成为事实上发展的空间。基于Internet上的MIS系统,弥补了传统MIS系统的不足,充分体现了现代网络时代的特点。随着Internet技术的高速发展,因特网必将成为人类新社会的技术基石。基于Internet的MIS系统必将成为网络时代的新一代管理信息系统,前景极为乐观。转载
随着互联网技术的不断发展,网络工程专业越来越受到国家和社会的关注,我们在写作网络工程 毕业 论文时,题目也是值得我们关注的。下面是我带来的关于网络工程毕业论
fj陈老诗 2人参与回答 2023-12-07 这个论文网不错的,推荐你看一下,但愿你可以找到想要的东西。
绿兮衣兮 6人参与回答 2023-12-08 一、 开题报告的含义与作用 开题报告,就是当课题方向确定之后,课题负责人在调查研究的基础上撰写的报请上级批准的选题计划。它主要说明这个课题应该进行研究,自己有
我喜欢小吃 2人参与回答 2023-12-09 如果论文题目中没有特殊说明的话,可以使用任何语言来实现
仿佛那一天 3人参与回答 2023-12-07 网页毕业设计参考文献 网页设计是指使用标识语言(markup language),通过一系列设计、建模、和执行的过程将电子格式的信息通过互联网传输,最终以图形用
哈毛小子 3人参与回答 2023-12-06 