淺談?dòng)吞锲髽I(yè)網(wǎng)絡(luò)安全管理

劉超

（中石化華北石油工程有限公司測(cè)井分公司450000）

淺談?dòng)吞锲髽I(yè)網(wǎng)絡(luò)安全管理

劉超

（中石化華北石油工程有限公司測(cè)井分公司450000）

作為大型國(guó)有企業(yè)，網(wǎng)絡(luò)的安全與否直接關(guān)系到油田生產(chǎn)和科研是否能夠正常進(jìn)行。本文通過分析企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀，結(jié)合企業(yè)網(wǎng)絡(luò)安全管理的相關(guān)技術(shù)分析，提出了適合本企業(yè)的網(wǎng)絡(luò)安全管理的策略。

油田企業(yè)；網(wǎng)絡(luò)；安全管理

1 企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀

網(wǎng)絡(luò)技術(shù)是一個(gè)相對(duì)復(fù)雜的系統(tǒng)，隨著技術(shù)的不斷提高，網(wǎng)絡(luò)的安全也日益受到威脅。主要表現(xiàn)以下幾個(gè)方面：

（1）存在網(wǎng)絡(luò)病毒，導(dǎo)致數(shù)據(jù)泄密，破壞網(wǎng)絡(luò)正常運(yùn)行。

一旦有主機(jī)受病毒感染，病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器不能正常運(yùn)行等。當(dāng)前企業(yè)均為局域網(wǎng)，一旦局域網(wǎng)的某臺(tái)計(jì)算機(jī)受到病毒的侵襲，那么整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)會(huì)在最短的時(shí)間內(nèi)感染到局域網(wǎng)內(nèi)所有計(jì)算機(jī)，攻擊整個(gè)局域網(wǎng)的管理系統(tǒng)，嚴(yán)重影響了企業(yè)正常的信息管理工作。用戶在企業(yè)內(nèi)部實(shí)現(xiàn)資源共享時(shí)，若缺少必要的訪問控制策略，會(huì)造成存儲(chǔ)設(shè)備中各種重要信息泄密。

（2）網(wǎng)絡(luò)系統(tǒng)安全策略不健全，硬件裝置技術(shù)落后，產(chǎn)生網(wǎng)絡(luò)系統(tǒng)安全漏洞。

數(shù)據(jù)的丟失主要是由于局域網(wǎng)內(nèi)的系統(tǒng)運(yùn)行出現(xiàn)問題引起的，也有部分企業(yè)的數(shù)據(jù)丟失是由于技術(shù)人員的錯(cuò)誤操作而導(dǎo)致的。但是系統(tǒng)中的安全策略不健全，均為攻擊者提供了截獲秘密的通道。另外，計(jì)算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)也是被攻擊的重點(diǎn)，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機(jī)器本身而且會(huì)消耗大量的網(wǎng)絡(luò)資源，致使整個(gè)網(wǎng)絡(luò)陷入癱瘓，最終導(dǎo)致數(shù)據(jù)大量丟失。

（3）個(gè)別人員操作過失，管理人員技能水平低下，頻現(xiàn)網(wǎng)絡(luò)主觀缺陷。

目前越來(lái)越多的企業(yè)已經(jīng)將互聯(lián)網(wǎng)作為企業(yè)工作的一個(gè)重要平臺(tái)。在這個(gè)過程中，難免會(huì)在不經(jīng)意之中，瀏覽非法的WEB網(wǎng)站。而企業(yè)的局域網(wǎng)相關(guān)的病毒攔截功能并不到位，加之企業(yè)內(nèi)部操作人員大都是非專業(yè)人員，這樣在很大程度上不利于企業(yè)信息的安全管理，這樣，網(wǎng)絡(luò)管理人員的技能水平低下，也是企業(yè)信息管理的網(wǎng)絡(luò)安全程度有的一個(gè)重要影響因素。

2 企業(yè)網(wǎng)絡(luò)安全管理技術(shù)分析

2.1 防火墻技術(shù)

防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列部件的組合，是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，它可以實(shí)現(xiàn)了網(wǎng)絡(luò)之間訪問的有效控制，本身具有較強(qiáng)的抗攻擊能力，能夠有效隔離外部不明身份的對(duì)象，進(jìn)而保護(hù)企業(yè)信息。它作為最常用的防盜系統(tǒng)又可以細(xì)分為代理服務(wù)防火墻和包過濾技術(shù)防火墻。

2.2 入侵檢測(cè)（IDS）技術(shù)入侵檢測(cè)是比較新型的網(wǎng)絡(luò)安全技術(shù)，它監(jiān)視并分析網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，并對(duì)它們進(jìn)行分析，尋找或者發(fā)現(xiàn)可能的繞過安全機(jī)制的入侵行為。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)工具，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，也能夠在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。

2.3 漏洞掃描技術(shù)

3 企業(yè)網(wǎng)絡(luò)安全管理的解決策略

3.1 實(shí)施防火墻方案，提高內(nèi)部網(wǎng)絡(luò)安全性

根據(jù)網(wǎng)絡(luò)整體安全考慮，鑒于本企業(yè)頻繁內(nèi)網(wǎng)與外網(wǎng)切換使用，容易出現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)被攻擊，因此，需要采用適合本油田企業(yè)的防火墻。這樣，一方面，可以極大地提高一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。另一方面，精心選擇的適合本油田企業(yè)的應(yīng)用協(xié)議使得網(wǎng)絡(luò)環(huán)境變得更加安全。例如企業(yè)使用的防火墻，可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。

3.2 配置CA入侵檢測(cè)系統(tǒng)，提高傳輸數(shù)據(jù)安全性

針對(duì)本油田企業(yè)的實(shí)際需求，可在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)，使其能夠在不同網(wǎng)段上的網(wǎng)絡(luò)都能將其檢測(cè)并響應(yīng)。入侵檢測(cè)系統(tǒng)通過實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，尤其是大多數(shù)以動(dòng)態(tài)圖形方式展現(xiàn)出來(lái)的數(shù)據(jù)，這樣管理員能夠?qū)崟r(shí)掌握目前企業(yè)內(nèi)外網(wǎng)之間正在進(jìn)行的各種連接以及各類用戶數(shù)據(jù)的訪問情況，充分運(yùn)用協(xié)議匹配和模式分析方法，有效地識(shí)別各種網(wǎng)絡(luò)攻擊和異?，F(xiàn)象。對(duì)于諸如拒絕服務(wù)攻擊、非授權(quán)訪問嘗試、預(yù)攻擊探測(cè)等現(xiàn)象發(fā)生時(shí)，CA檢測(cè)系統(tǒng)就會(huì)發(fā)出實(shí)時(shí)報(bào)警。面對(duì)惡劣的網(wǎng)絡(luò)入侵事件，CA檢測(cè)引擎會(huì)直接發(fā)出阻斷信號(hào)，切斷發(fā)生攻擊的所有連接，結(jié)合企業(yè)已經(jīng)配置好的防火墻策略，動(dòng)態(tài)地調(diào)整企業(yè)網(wǎng)絡(luò)的防護(hù)體系。

3.3 啟動(dòng)防病毒策略，彌補(bǔ)網(wǎng)絡(luò)安全漏洞

采用適合本油田企業(yè)的網(wǎng)絡(luò)防病毒軟件，建立整體防病毒體系，采取全面病毒防護(hù)，通過設(shè)置網(wǎng)絡(luò)中心對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計(jì)算機(jī)設(shè)備，將局域網(wǎng)內(nèi)所有計(jì)算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)，并通過控制主服務(wù)器，對(duì)整個(gè)域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動(dòng)查殺病毒。同時(shí)，根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時(shí)下載系統(tǒng)補(bǔ)丁和殺毒工具，采取相關(guān)措施，防范于未然。

3.4 定期管理重要資料，保證數(shù)據(jù)安全性

為了防止各種軟硬件故障、病毒侵襲和黑客破壞等原因造成網(wǎng)絡(luò)系統(tǒng)崩潰的現(xiàn)象出現(xiàn)，網(wǎng)絡(luò)用戶應(yīng)定期對(duì)重要資料進(jìn)行備份，選擇功能完善、使用靈活的備份軟件配合各種災(zāi)難恢復(fù)軟件，全面地保護(hù)數(shù)據(jù)的安全。定期更新系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)，自覺對(duì)文件進(jìn)行分級(jí)管理，注意對(duì)系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)，對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)的保密性。

[1]潘偉.網(wǎng)絡(luò)信息系統(tǒng)安全保密一體化解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（09）：17.

[2]李中偉.關(guān)于網(wǎng)絡(luò)信息安全管理的思考[J].中小企業(yè)管理與科技（下旬刊），2011（10）：39.

作為增強(qiáng)系統(tǒng)安全性的重要技術(shù)，漏洞掃描能夠有效地預(yù)先評(píng)估和分析系統(tǒng)中的安全問題，提供詳盡的檢測(cè)報(bào)告和切實(shí)可行的網(wǎng)絡(luò)安全漏洞解決方案，使系統(tǒng)管理員在黑客入侵之前將系統(tǒng)可能存在的各種安全漏洞修補(bǔ)好，避免黑客的入侵而造成不同程度的損失。

TP393.08

A

1004-7344（2016）28-0281-01

2016-9-9