向虹

摘 要：隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，網(wǎng)絡(luò)上承載的應(yīng)用越來越多，豐富的網(wǎng)絡(luò)信息資源給人們帶來了極大的方便，但同時(shí)，也給上網(wǎng)用戶帶來了安全問題，系統(tǒng)被侵犯、信息泄漏、信譽(yù)受損，以及災(zāi)難性事件的數(shù)量呈增加趨勢。目前，石化集團(tuán)正大力推進(jìn)各下屬企業(yè)的信息化建設(shè)，要求有一個(gè)強(qiáng)有力的網(wǎng)絡(luò)安全體系來保證這些從分散到集中的數(shù)據(jù)、信息資源的安全和穩(wěn)定。

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)；安全；系統(tǒng)

本文以油田網(wǎng)絡(luò)安全系統(tǒng)為例，淺議油田企業(yè)網(wǎng)絡(luò)安全系統(tǒng)完善工程的途徑。

一、網(wǎng)絡(luò)安全系統(tǒng)完善工程的意義

目前，石化集團(tuán)為建立現(xiàn)代企業(yè)制度，提高企業(yè)競爭力，正大力推進(jìn)各下屬企業(yè)的信息化建設(shè)，如ERP系統(tǒng)、生產(chǎn)管理調(diào)度系統(tǒng)、八大數(shù)據(jù)庫系統(tǒng)等，所有這些系統(tǒng)的建設(shè)，都要求有一個(gè)強(qiáng)有力的網(wǎng)絡(luò)安全體系來保證這些從分散到集中的數(shù)據(jù)、信息資源的安全和穩(wěn)定。

油田經(jīng)過多年的建設(shè)，已經(jīng)形成完善整體結(jié)構(gòu)為通過光纖連接的多級網(wǎng)絡(luò)，隨著油田網(wǎng)絡(luò)應(yīng)用的不斷增加，聯(lián)入企業(yè)網(wǎng)絡(luò)的單位和用戶也越來越多，信息系統(tǒng)面臨被攻擊和侵犯的風(fēng)險(xiǎn)也越來越大。特別是ERP系統(tǒng)的上線運(yùn)行，對網(wǎng)絡(luò)安全系統(tǒng)的需求就更加迫切。

根據(jù)《油田信息系統(tǒng)的安全策略》要求，建立油田信息網(wǎng)高強(qiáng)度的身份認(rèn)證和授權(quán)體系，加強(qiáng)桌面安全管理體系的建設(shè)，提升主干網(wǎng)安全防范能力，保證關(guān)鍵應(yīng)用的安全，不僅是油田的一項(xiàng)重要任務(wù)，也是整個(gè)石化信息網(wǎng)絡(luò)安全體系的重要組成部分。

二、網(wǎng)絡(luò)安全系統(tǒng)存在的問題

目前的信息安全建設(shè)只解決了風(fēng)險(xiǎn)較大的因特網(wǎng)出口的安全問題，離建立完整的信息系統(tǒng)安全體系距離很大，尚存在許多薄弱環(huán)節(jié)和信息安全“隱患”，目前主要表現(xiàn)在：

一是信息安全管理機(jī)制尚存在缺陷，特別是系統(tǒng)運(yùn)行安全制度還不健全、標(biāo)準(zhǔn)規(guī)范尚未建立，難以適應(yīng)業(yè)務(wù)連續(xù)性的要求；二是主干網(wǎng)上還未采取有效的安全防護(hù)措施，造成各單位病毒相互傳播，使得主干網(wǎng)正常的信息傳輸出現(xiàn)阻塞；三是缺乏有效的身份認(rèn)證與授權(quán)體系，在用戶身份識別和信息資源訪問控制上存在隱患，使應(yīng)用系統(tǒng)的安全防護(hù)力度不夠；四是桌面管理存在較大隱患，“病從桌入、病從網(wǎng)入”仍然是系統(tǒng)防病毒和其他信息安全工作的重點(diǎn)；病毒防范仍是最薄弱環(huán)節(jié)。五是應(yīng)用信息系統(tǒng)沒有建立相應(yīng)的安全防護(hù)體系，不能保證重要應(yīng)用系統(tǒng)的安全、可靠地運(yùn)行；在重要的系統(tǒng)中，沒有建立足夠的認(rèn)證審計(jì)機(jī)制，安全性較差，非法用戶容易破解，存在重要業(yè)務(wù)數(shù)據(jù)被毀損或篡改的可能性。

三、確保網(wǎng)絡(luò)安全系統(tǒng)工程的對策

目前，油田信息網(wǎng)絡(luò)安全建設(shè)主要包括以幾個(gè)方面：1.網(wǎng)絡(luò)入侵檢測系統(tǒng)；2.網(wǎng)絡(luò)性能監(jiān)控及故障分析系統(tǒng)。

一是網(wǎng)絡(luò)入侵檢測系統(tǒng)。在現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系中，信息網(wǎng)絡(luò)面臨的安全問題僅依靠單一的安全產(chǎn)品很難全面解決，而且傳統(tǒng)的防火墻自身也存在一些不足之處。如果操作系統(tǒng)自身存在安全漏洞也有可能帶來較大的安全風(fēng)險(xiǎn)。而IDS產(chǎn)品以其強(qiáng)大的入侵檢測能力，完全彌補(bǔ)了防火墻的不足。入侵檢測系統(tǒng)提供的和防火墻互動的功能，則可以從原來的靜態(tài)防護(hù)變?yōu)閯討B(tài)防護(hù)，與其它安全產(chǎn)品綜合部署則可以形成一個(gè)立體的防護(hù)體系。一旦發(fā)現(xiàn)可疑的行為，及時(shí)做出適當(dāng)?shù)捻憫?yīng)，以保證將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)。這種動態(tài)的保護(hù)機(jī)制就是入侵檢測系統(tǒng)。

入侵檢測系統(tǒng)應(yīng)具備以下特征：在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。

入侵檢測系統(tǒng)是為保證計(jì)算機(jī)系統(tǒng)的安全而配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，它可以及時(shí)發(fā)現(xiàn)惡意入侵者或識別出對計(jì)算機(jī)的非法訪問行為，并對其進(jìn)行隔離。入侵檢測系統(tǒng)能發(fā)現(xiàn)其他安全措施無法發(fā)現(xiàn)的攻擊行為，并能收集可以用來訴訟的犯罪證據(jù)。

二是網(wǎng)絡(luò)性能監(jiān)控及故障分析系統(tǒng)。在以太網(wǎng)中，所有的通訊都是廣播的，也就是說通常在同一個(gè)網(wǎng)段的網(wǎng)絡(luò)接口都可以訪問在物理介質(zhì)上傳輸?shù)乃袛?shù)據(jù)，而每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)唯一的硬件地址，這個(gè)硬件地址也就是網(wǎng)卡的MAC地址，在硬件地址和IP地址間使用ARP和RARP協(xié)議進(jìn)行相互轉(zhuǎn)換。

性能監(jiān)控和故障分析就是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地址為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。該技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它自動接收著來自網(wǎng)絡(luò)的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。

對于油田的信息網(wǎng)絡(luò)面言，信息中心站在全局角度，對網(wǎng)絡(luò)整體性能比較關(guān)注，可以在信息中心主控服務(wù)器上安裝NAI

Sniffer網(wǎng)絡(luò)協(xié)議分析儀，用于對全局的網(wǎng)絡(luò)流量和狀態(tài)進(jìn)行監(jiān)控，分析出網(wǎng)絡(luò)效能問題。但NAI Sniffer是軟件產(chǎn)品，安裝使用相對復(fù)雜，而且移動不方便。可以備用一臺便攜式網(wǎng)絡(luò)分析儀

FLUKE OPV-WGA/GIG （分布式網(wǎng)絡(luò)綜合協(xié)議分析儀兆型） ，由信息中心管理，二級單位網(wǎng)絡(luò)出現(xiàn)故障時(shí)借用。