寧曉波

［摘要］ 隨著風(fēng)城油田作業(yè)區(qū)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)展，轉(zhuǎn)網(wǎng)絡(luò)運(yùn)維與安全管理工作已成為保障、促進(jìn)油田發(fā)展建設(shè)的戰(zhàn)略性工作。網(wǎng)絡(luò)安全管理的目標(biāo)，已從單純的維護(hù)網(wǎng)絡(luò)運(yùn)行暢通轉(zhuǎn)變?yōu)樘岣叻?wù)能力，保障信息系統(tǒng)可用性、連續(xù)性、安全性，將人、技術(shù)、管理等有機(jī)結(jié)合起來，形成技術(shù)有保障、管理有章法、人員守流程的綜合保障體系。

［關(guān)鍵詞］ 內(nèi)網(wǎng)；安全管理；終端；控制

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 13. 030

［中圖分類號］ TP393.1［文獻(xiàn)標(biāo)識碼］A［文章編號］1673 - 0194（2014）13- 0044- 02

１前言

近年來，網(wǎng)絡(luò)安全事件頻頻發(fā)生，人們對外部網(wǎng)絡(luò)入侵和Ｉｎｔｅｒｎｅｔ的安全性日益重視，但來自內(nèi)部網(wǎng)絡(luò)的攻擊卻有愈演愈烈之勢，內(nèi)網(wǎng)安全成為企業(yè)管理的隱患。信息資料被非法泄露、拷貝、篡改，往往給各行業(yè)企事業(yè)單位造成重大損失。而如何使內(nèi)部網(wǎng)絡(luò)始終在安全、可靠、保密的環(huán)境下運(yùn)行，幫助企業(yè)各類業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務(wù)系統(tǒng)正常安全運(yùn)行等一系列問題一直困擾著企事業(yè)單位的ＩＴ部門。

針對這些問題，風(fēng)城油田作業(yè)區(qū)信息管理部門建立了一套由技術(shù)體系與管理體系構(gòu)成的信息安全體系。通過技術(shù)體系加強(qiáng)網(wǎng)絡(luò)管理力度、豐富網(wǎng)絡(luò)管理手段、降低網(wǎng)絡(luò)運(yùn)維管理成本。通過管理體系提高員工網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范意識。

２風(fēng)城油田作業(yè)區(qū)網(wǎng)絡(luò)概況

風(fēng)城油田作業(yè)區(qū)下轄夏子街油田、風(fēng)城油田及烏爾禾油田，作業(yè)區(qū)管轄面積１５３平方千米，戰(zhàn)線達(dá)百余千米。作業(yè)區(qū)擁有的兩大生產(chǎn)辦公網(wǎng)絡(luò)匯聚點(diǎn)，分布在克拉瑪依市機(jī)關(guān)、烏爾禾前線基地辦公樓，地理位置最遠(yuǎn)相距１７０多千米。目前，作業(yè)區(qū)共有１０個(gè)獨(dú)立辦公地點(diǎn)，各類交換機(jī)６０余臺，ＰＣ終端千余臺。

作業(yè)區(qū)網(wǎng)絡(luò)具有接入點(diǎn)多、分布面廣等特點(diǎn)，隨著作業(yè)區(qū)的網(wǎng)絡(luò)應(yīng)用日益增多，信息管理部門應(yīng)有效地進(jìn)行網(wǎng)絡(luò)資源管理，為作業(yè)區(qū)的信息化、自動(dòng)化建設(shè)保駕護(hù)航，確保生產(chǎn)的正常進(jìn)行。

隨著風(fēng)城油田作業(yè)區(qū)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)展，如何使內(nèi)部網(wǎng)絡(luò)始終處于安全、可靠、保密的環(huán)境下運(yùn)行，幫助作業(yè)區(qū)各類業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務(wù)系統(tǒng)正常安全運(yùn)行是目前作業(yè)區(qū)網(wǎng)絡(luò)管理一大難題。根據(jù)作業(yè)區(qū)實(shí)際情況，信息管理部門將管理、技術(shù)和策略有機(jī)結(jié)合，構(gòu)建了一套信息安全體系（如圖１所示）。

３風(fēng)城油田作業(yè)區(qū)網(wǎng)絡(luò)管理

根據(jù)油田網(wǎng)絡(luò)管理現(xiàn)狀，我們在加強(qiáng)技術(shù)防護(hù)手段的同時(shí)，整體規(guī)劃，運(yùn)用內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)加強(qiáng)桌面計(jì)算機(jī)終端管理力度，通過劃分網(wǎng)絡(luò)安全域明確網(wǎng)絡(luò)邊界，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)與管理，利用交換機(jī)聚合技術(shù)提高網(wǎng)絡(luò)傳輸能力，降低網(wǎng)絡(luò)運(yùn)維管理成本，同時(shí)，完善網(wǎng)絡(luò)安全管理制度與流程，將人，技術(shù)、管理有機(jī)結(jié)合，提高網(wǎng)絡(luò)整體抗風(fēng)險(xiǎn)能力，為作業(yè)區(qū)建設(shè)信息化、自動(dòng)化油田打造一個(gè)堅(jiān)實(shí)、穩(wěn)定、高效的網(wǎng)絡(luò)平臺。

３．１ 劃分內(nèi)部各子網(wǎng)安全域，明確各內(nèi)部網(wǎng)絡(luò)邊界

作業(yè)區(qū)下屬單位數(shù)量繁多，按業(yè)務(wù)類型與辦公區(qū)域劃分網(wǎng)絡(luò)安全域，有利于構(gòu)筑企業(yè)內(nèi)網(wǎng)安全基礎(chǔ)。根據(jù)實(shí)際情況，我們通過邏輯劃分ＶＬＡＮ和物理隔離兩種方式將網(wǎng)絡(luò)劃分為辦公域、接入域、服務(wù)（計(jì)算）域、管理域（運(yùn)維與管理的主要區(qū)域）和自動(dòng)化生產(chǎn)域，不同的業(yè)務(wù)部門采用不同級別的安全防護(hù)機(jī)制，如采用三層交換機(jī)，建立ＶＬＡＮ，使用防火墻、隔離網(wǎng)閘等（見圖２）。

在服務(wù)（計(jì)算）域部署各類服務(wù)器，在上游設(shè)立防火墻，部署網(wǎng)絡(luò)安全策略，對處于不同安全級別域的用戶訪問進(jìn)行審查控制。在自動(dòng)化生產(chǎn)域，我們采用物理隔離方式在自動(dòng)化專網(wǎng)上游部署隔離網(wǎng)閘，隔離自動(dòng)化專網(wǎng)與辦公網(wǎng)絡(luò)。網(wǎng)閘的安全性體現(xiàn)在鏈路層斷開，直接處理應(yīng)用層數(shù)據(jù)，對應(yīng)用層數(shù)據(jù)進(jìn)行內(nèi)容檢查和控制，在網(wǎng)絡(luò)之間交換的數(shù)據(jù)都是應(yīng)用層的數(shù)據(jù)。

３．２ 運(yùn)用內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)加強(qiáng)網(wǎng)絡(luò)終端管理力度

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分，其安全性也受到越來越多的重視。風(fēng)城油田作業(yè)區(qū)辦公網(wǎng)絡(luò)作為新疆油田公司下級網(wǎng)絡(luò)構(gòu)成，它的安全與否直接決定了新疆油田公司整體網(wǎng)絡(luò)安全級別。經(jīng)調(diào)查分析，企業(yè)內(nèi)網(wǎng)主要面臨的安全威脅有如下幾條：

（１）資產(chǎn)管理失控：網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換終端硬件配備、操作系統(tǒng)等。

（２）網(wǎng)絡(luò)資源濫用：ＩＰ地址、流量濫用，影響網(wǎng)絡(luò)正常使用。

（３）病毒蠕蟲入侵：導(dǎo)致網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞丟失，而且無法找到災(zāi)難的源頭以迅速采取隔離等處理措施，從而為正常業(yè)務(wù)帶來災(zāi)難性的持續(xù)的影響。

（４）重要信息泄密：因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導(dǎo)致組織內(nèi)部重要信息泄露或毀滅，造成不可彌補(bǔ)的重大損失。

（５）補(bǔ)丁管理混亂：終端用戶不及時(shí)打補(bǔ)丁，從而為蠕蟲與黑客入侵保留了通道。

針對常見內(nèi)網(wǎng)隱患，風(fēng)城油田作業(yè)區(qū)信息檔案管理站利用油田公司部署的內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)（ＶＲＶ ＥＤＰ）管理工具對作業(yè)區(qū)網(wǎng)絡(luò)客戶端進(jìn)行定時(shí)檢查與梳理，采用檢查客戶端安裝補(bǔ)丁情況、核實(shí)硬件變更情況等檢查手段（如圖3所示），有效降低了內(nèi)網(wǎng)安全風(fēng)險(xiǎn)級別。

３．３ 建立信息安全管理體系

嚴(yán)密、完整的管理體制，不但可以在確保信息安全的前提下最大限度實(shí)現(xiàn)信息資源共享，而且可以彌補(bǔ)技術(shù)性安全管理體系的部分弱點(diǎn)。管理體系的建立和實(shí)施能為網(wǎng)絡(luò)的管理和長期監(jiān)控提供理論指導(dǎo)。管理體系可分為法律、制度和培訓(xùn)3部分。

與安全有關(guān)的法律法規(guī)是保障信息系統(tǒng)安全的最高行為準(zhǔn)則，是制定管理制度的參考標(biāo)準(zhǔn)。依照安全需求制定一系列內(nèi)部規(guī)章制度，從責(zé)任、人員、部位、行為等多方面對需要保護(hù)什么、為什么需要保護(hù)以及怎樣保護(hù)涉密信息系統(tǒng)的安全做出具體規(guī)定，并通過全面推行，使之貫穿到日常具體工作當(dāng)中。風(fēng)城油田作業(yè)區(qū)成立了計(jì)算機(jī)兼職管理員小組進(jìn)行安全培訓(xùn)。培訓(xùn)的內(nèi)容包括法律法規(guī)、內(nèi)部制度、安全意識和與崗位相關(guān)的重點(diǎn)安全防范技能等。提高了各科室單位與前線基層單位員工的計(jì)算機(jī)基礎(chǔ)知識與網(wǎng)絡(luò)安全知識水平，使員工能主動(dòng)規(guī)避各類違規(guī)行為，從而減少了網(wǎng)絡(luò)安全隱患。

４結(jié)束語

一種管理體系的建立涉及管理理念、管理模式的變革，信息安全體系在風(fēng)城油田作業(yè)區(qū)的推廣應(yīng)用，既是對作業(yè)區(qū)網(wǎng)絡(luò)安全管理工作的加強(qiáng)，也有益于對用戶網(wǎng)絡(luò)行為的引導(dǎo)和規(guī)范。從實(shí)際推廣效果看， 風(fēng)城作業(yè)區(qū)內(nèi)網(wǎng)管理模式適合作業(yè)區(qū)現(xiàn)狀， 減少了網(wǎng)絡(luò)安全方面的威脅， 提升了計(jì)算機(jī)網(wǎng)絡(luò)的安全等級。

筆者認(rèn)為，要真正確保計(jì)算機(jī)網(wǎng)絡(luò)及其相關(guān)信息的安全， 除了采取一些必要的技術(shù)手段外， 最重要的是信息安全管理體系的建立和實(shí)施。只有建立并切實(shí)實(shí)施信息安全管理體系，人、技術(shù)、管理等多方面手段多管齊下，調(diào)動(dòng)各方積極性，引起領(lǐng)導(dǎo)重視，明確三方責(zé)任，使網(wǎng)絡(luò)安全管理日?；?、常態(tài)化，才能真正保障內(nèi)網(wǎng)安全。

主要參考文獻(xiàn)

［１］曾朝蓉.內(nèi)網(wǎng)安全管理方案探討［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，２００９（１１）．

［２］甄保社．解放軍醫(yī)學(xué)圖書館內(nèi)網(wǎng)安全管理系統(tǒng)［Ｊ］．中華醫(yī)學(xué)圖書情報(bào)雜志，２００９，１８（２）．

［３］蔣蘋．計(jì)算機(jī)信息系統(tǒng)安全體系設(shè)計(jì)［Ｊ］．計(jì)算機(jī)工程與科學(xué)，2003，25（1）.