云曉龍

【摘 要】隨著油田數(shù)字化和信息化建設(shè)的飛速發(fā)展，油田局域網(wǎng)建設(shè)日臻完善，不僅有線網(wǎng)絡(luò)的規(guī)模在不斷擴(kuò)大，而且無(wú)線網(wǎng)絡(luò)在各項(xiàng)會(huì)議、項(xiàng)目建設(shè)中的應(yīng)用也越來(lái)越廣泛，內(nèi)外網(wǎng)之間的信息交互日益頻繁，給油田各項(xiàng)工作提供了極大的便捷，但隨之而來(lái)的安全隱患和潛在攻擊威脅也給油田正常的生產(chǎn)和運(yùn)行敲響了警鐘。為此，本文深度剖析了油田局域網(wǎng)面臨的常見(jiàn)攻擊和安全管理存在的問(wèn)題并提出對(duì)策。

【關(guān)鍵詞】油田 局域網(wǎng) 安全

【中圖分類號(hào)】TE144【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0277-01

1 前言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和信息網(wǎng)絡(luò)應(yīng)用的普及，油田局域網(wǎng)建設(shè)業(yè)已成為油田實(shí)現(xiàn)科學(xué)管理自動(dòng)化、信息化、智能化必不可少的關(guān)鍵環(huán)節(jié)。同時(shí)由于油田局域網(wǎng)具有應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多的顯著特點(diǎn)，在油田內(nèi)網(wǎng)中包含的經(jīng)濟(jì)利益越來(lái)越大，商業(yè)機(jī)密以及用戶隱私也越來(lái)越多，因而面臨的安全威脅也在不斷擴(kuò)大，為油田的信息安全與安全生產(chǎn)帶來(lái)了巨大的挑戰(zhàn)，提升油田局域網(wǎng)安全防護(hù)工作的有效性已迫在眉睫。

2 信息安全及油田局域網(wǎng)安全防護(hù)的內(nèi)涵

網(wǎng)絡(luò)信息安全是指計(jì)算機(jī)網(wǎng)絡(luò)的硬件不會(huì)遭到破壞、程序不會(huì)被篡改并且數(shù)據(jù)不會(huì)被泄露，從而確保計(jì)算機(jī)網(wǎng)絡(luò)得以持續(xù)、穩(wěn)定、可靠地運(yùn)行，實(shí)現(xiàn)有效阻止一切網(wǎng)絡(luò)攻擊的技術(shù)目標(biāo)和建設(shè)優(yōu)良網(wǎng)絡(luò)系統(tǒng)運(yùn)行維護(hù)的管理目標(biāo)?；诖?，油田局域網(wǎng)信息安全防護(hù)就是要采取有效的技術(shù)手段和管理手段防止油田各級(jí)單位計(jì)算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備免遭破壞，防止財(cái)務(wù)集成平臺(tái)、勘探開(kāi)發(fā)管理系統(tǒng)、生產(chǎn)運(yùn)行平臺(tái)、ERP等各類網(wǎng)絡(luò)應(yīng)用系統(tǒng)免遭侵入而導(dǎo)致程序被篡改，保護(hù)油田局域網(wǎng)內(nèi)數(shù)據(jù)不被盜取。

3 油田局域網(wǎng)潛在的網(wǎng)絡(luò)攻擊隱患

通常威脅網(wǎng)絡(luò)信息安全的網(wǎng)絡(luò)攻擊都是針對(duì)于安全漏洞和系統(tǒng)缺陷而對(duì)IP地址發(fā)起的攻擊，例如查找系統(tǒng)漏洞和后門(mén)、掃描端口等等。目前油田局域網(wǎng)和外網(wǎng)的交互過(guò)程中潛在如下三種網(wǎng)絡(luò)攻擊隱患：

3.1利用型攻擊

利用型攻擊是目前較為常見(jiàn)也是較為直接的一種攻擊方式，通常都是網(wǎng)絡(luò)攻擊者試圖直接侵入開(kāi)放的無(wú)監(jiān)控的Internet網(wǎng)絡(luò)，進(jìn)行破壞系統(tǒng)、竊取數(shù)據(jù)或者盜用特權(quán)的活動(dòng)，從而影響網(wǎng)絡(luò)正常運(yùn)行甚至癱瘓。

3.2 假消息攻擊

對(duì)那些利用缺乏安全措施的TCP/IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)展開(kāi)攻擊或者通過(guò)偽造假消息的方式對(duì)缺乏安全保護(hù)措施的網(wǎng)絡(luò)進(jìn)行攻擊，從而竊取電子郵件中傳輸?shù)闹匾畔?。通常采取如下兩種手段：

（1）DNS高速緩存污染：DNS服務(wù)器與其他名稱服務(wù)器交換信息的時(shí)候并不進(jìn)行身份驗(yàn)證，這就使得攻擊者可以將不正確的信息摻進(jìn)來(lái)并把用戶引向他自己的主機(jī)。

（2）偽造電子郵件：由于SMTP并不對(duì)郵件的發(fā)送者的身份進(jìn)行鑒定，因此攻擊者可以對(duì)你的內(nèi)部客戶偽造電子郵件，聲稱是某個(gè)客戶認(rèn)識(shí)并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個(gè)引向惡意網(wǎng)站的連接。

3.3 病毒木馬攻擊

通過(guò)傳播病毒使缺乏安全措施的Internet網(wǎng)絡(luò)上的用戶感染進(jìn)而破壞網(wǎng)絡(luò)系統(tǒng)、竊取數(shù)據(jù)和信息，最為常見(jiàn)的有腳本侵入與Active X跨站攻擊。例如，一些惡意網(wǎng)頁(yè)利用瀏覽器或操作系統(tǒng)方面的安全缺陷，通過(guò)執(zhí)行嵌入在網(wǎng)頁(yè)內(nèi)的 Java Applet小應(yīng)用程序、Java ScriPt腳本語(yǔ)言程序、VBSCriPt腳本或Active X控件等自動(dòng)執(zhí)行的代碼程序，強(qiáng)行修改用戶操作系統(tǒng)的注冊(cè)表或運(yùn)行用戶本地程序，從而達(dá)到破壞數(shù)據(jù)，非法控制系統(tǒng)資源、感染木馬程序甚至格式化硬盤(pán)等目的。

4 油田局域網(wǎng)安全管理存在的問(wèn)題

目前油田局域網(wǎng)安全管理還存在如下兩大問(wèn)題，導(dǎo)致不能對(duì)上述各類型網(wǎng)絡(luò)攻擊的安全防護(hù)有效性不高。

4.1外來(lái)入侵不能快速發(fā)現(xiàn)并監(jiān)控

目前許多油田并未對(duì)下屬各級(jí)單位配備統(tǒng)一的防火墻和殺毒軟件并為其購(gòu)買使用許可證或激活碼，從而導(dǎo)致油田局域網(wǎng)各用戶端使用的防火墻五花八門(mén)，而且大部分用戶都在使用免費(fèi)版或者試用版，并未激活正式版本，從而導(dǎo)致防火墻和殺毒軟件的病毒庫(kù)和木馬庫(kù)得不到及時(shí)更新，這在當(dāng)前新病毒、木馬滋生的網(wǎng)絡(luò)環(huán)境下，難以對(duì)新出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行有效防火。不僅如此，黑客采用的新型網(wǎng)絡(luò)攻擊手法也很容易將陳舊防火墻存在的漏洞攻破，甚至手段高明的黑客直接就藏匿在防火墻之內(nèi)，難

以被發(fā)現(xiàn)，進(jìn)而導(dǎo)致油田局域網(wǎng)遭受的外來(lái)入侵不能快速發(fā)現(xiàn)并監(jiān)控。

4.2 不能嚴(yán)格的控制網(wǎng)絡(luò)內(nèi)部用戶

盡管油田局域網(wǎng)面臨的互聯(lián)網(wǎng)攻擊方法越來(lái)越呈現(xiàn)多樣化的趨勢(shì)，但根據(jù)近年來(lái)各油田信息中心的統(tǒng)計(jì)數(shù)據(jù)顯示，油田局域網(wǎng)直接遭受來(lái)自于外網(wǎng)的攻擊的事件仍占少數(shù)，而來(lái)自內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊占比則高達(dá)85%。究其根源，這主要是由于目前各油田無(wú)論采用的防護(hù)軟件還是管理部署等安全防護(hù)工作大都以外部防護(hù)為重點(diǎn)，不能全面兼顧內(nèi)部防御。加之下屬各級(jí)單位用戶安全防護(hù)意識(shí)較差，內(nèi)網(wǎng)用戶計(jì)算機(jī)感染病毒或木馬的幾率極高，且一旦感染后便會(huì)迅速在內(nèi)網(wǎng)進(jìn)行傳播并不停地攻擊局域網(wǎng)，從而使油田局域網(wǎng)安全防護(hù)難以確定病毒的源頭。

5 提升油田局域網(wǎng)安全防護(hù)有效性的途徑

從上述分析可以看出，提升油田局域網(wǎng)安全防護(hù)有效性就必須著眼于從技術(shù)層面防護(hù)網(wǎng)絡(luò)攻擊和從管理層面健全安全防護(hù)工作體系兩方面入手，既要提升安全防水技術(shù)水平，又要解決安全管理中的不足。

5.1 加大安防資金投入，開(kāi)發(fā)油田統(tǒng)一的安全防護(hù)網(wǎng)絡(luò)

油田企業(yè)在資金支持方面具有其他企業(yè)無(wú)可比擬的優(yōu)勢(shì)，信息化網(wǎng)絡(luò)建設(shè)所需資金對(duì)于資金實(shí)力雄厚的油田企業(yè)來(lái)說(shuō)僅為滄海一粟，因而油田企業(yè)可以加大安全資金投入，聘請(qǐng)實(shí)力雄厚的病毒防護(hù)公司和軟件公司為油田開(kāi)發(fā)一套全面涵蓋防病毒系統(tǒng)、防火墻、入侵檢測(cè)、認(rèn)證加密、操作系統(tǒng)安全使用和采用VPN （虛擬專用網(wǎng)）等高安全性策略，且適用于油田的專有安全防護(hù)網(wǎng)絡(luò)系統(tǒng)，將其統(tǒng)一配備至油田企業(yè)下屬各單位，并為每一個(gè)用戶端設(shè)立獨(dú)有的用戶識(shí)別號(hào)，將進(jìn)入電腦的 Vlan 有秩序的進(jìn)行劃分并展開(kāi)病毒查殺、過(guò)濾信息（主要為情色、反動(dòng)言論）和阻礙垃圾郵件等防護(hù)工作，同時(shí)通過(guò)掃描HTTP、FTP、SMTP、IMAP 的協(xié)議數(shù)據(jù)來(lái)實(shí)時(shí)監(jiān)控出入局域網(wǎng)內(nèi)網(wǎng)的數(shù)據(jù)信息，一旦發(fā)現(xiàn)外來(lái)入侵者侵入某用戶端或者某用戶端計(jì)算機(jī)被感染，防護(hù)系統(tǒng)便可以將專有的用戶端識(shí)別碼發(fā)送至信息中心，這樣便可以快速鎖定病毒的源頭，采取有效控制措施，防止在油田局域網(wǎng)快速傳播。

5.2 健全安防管理體系，提升油田網(wǎng)絡(luò)全面安全管理水平

首先，油田應(yīng)成立以主管領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、安全操作員、安全專家等人員組成的多級(jí)網(wǎng)絡(luò)安全管理專有機(jī)構(gòu)。這是安全保障工作得以有效落實(shí)的前提保障。

其次，要完善各項(xiàng)有關(guān)設(shè)備和系統(tǒng)的使用、運(yùn)行、管理和維護(hù)的網(wǎng)絡(luò)安全制度，例如，對(duì)無(wú)線、有線連接的電腦及設(shè)備進(jìn)行備案，明文指定 IP地址，進(jìn)行 MAC 綁定認(rèn)證，嚴(yán)禁使用人更改分配的固定 IP 地址，嚴(yán)禁私自裝拆網(wǎng)絡(luò)設(shè)備等；同時(shí)還要制定企業(yè)安全標(biāo)準(zhǔn)和安全應(yīng)急方案，根據(jù)自身的實(shí)際情況選擇實(shí)施和維護(hù)較為有效地信息安全管理體系，從而建立一套適合企業(yè)本身的風(fēng)險(xiǎn)管理流程。

最后，還要通過(guò)加強(qiáng)宣傳增加職工的安全和遵紀(jì)守法意識(shí)，讓廣大職工自覺(jué)地參與到安全保護(hù)中來(lái)，認(rèn)真執(zhí)行安全策略，減少安全漏洞。

總而言之，隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展和互聯(lián)網(wǎng)應(yīng)用在油田的不斷普及，網(wǎng)絡(luò)信息安全問(wèn)題將成為油田數(shù)字化建設(shè)進(jìn)程中最為關(guān)注的焦點(diǎn)，只有對(duì)不斷更新變化的網(wǎng)絡(luò)攻擊和安全管理存在的問(wèn)題有一個(gè)清晰的認(rèn)識(shí)，進(jìn)而采取有效的防范對(duì)策，才能真正提升油田網(wǎng)絡(luò)信息安全防護(hù)的有效性，避免油田各大應(yīng)用系統(tǒng)被破壞、程序被篡改、信息被竊取，推動(dòng)油田局域網(wǎng)系統(tǒng)更加安全、穩(wěn)固，為油田的發(fā)展和建設(shè)做出更大貢獻(xiàn)！

參考文獻(xiàn)

[1] 張宇.企業(yè)網(wǎng)防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].中小企業(yè)管理與科技.2007年第11期

[2] 吳忠坤.家庭網(wǎng)絡(luò)安全防范技術(shù)與管理手段探討[J].科技信息. 2009年第5期