劉利軍　宋　慧　王克江

[摘要]隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。根據(jù)近年國(guó)內(nèi)網(wǎng)絡(luò)領(lǐng)域新技術(shù)，結(jié)合油田內(nèi)部網(wǎng)的實(shí)際需要及工作實(shí)踐中積累的經(jīng)驗(yàn)，從網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)可靠性以及網(wǎng)絡(luò)行為等三個(gè)方面作闡述，對(duì)網(wǎng)絡(luò)信息安全提出了若干見(jiàn)解，通過(guò)加強(qiáng)網(wǎng)絡(luò)信息安全的研究與建設(shè)，在實(shí)際中采取切實(shí)有效的安全控制對(duì)策，對(duì)提升信息安全具有重要意義。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 防火墻 ACL VLAN 入侵檢測(cè) 上網(wǎng)行為管理

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0510108－01

網(wǎng)絡(luò)安全是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)、可靠、正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

一、網(wǎng)絡(luò)入侵防范對(duì)策及應(yīng)用

（一）部署網(wǎng)絡(luò)防火墻防止外部非法入侵。防火墻技術(shù)是目前解決非法入侵的最熱門方法。在中心機(jī)房設(shè)置防火墻，能夠?qū)λ衅髨D進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行控制。通常采用硬件防火墻或防火墻軟件（如Check-point）等，它們都能識(shí)別、記錄并阻塞非法的網(wǎng)絡(luò)入侵行為，從而保證網(wǎng)絡(luò)外部訪問(wèn)的安全性，是網(wǎng)絡(luò)安全的第一道大門，另外，筆者認(rèn)為對(duì)于用戶較多的網(wǎng)絡(luò)建議采用硬件防火墻。

（二）部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。由于防火墻處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。入侵檢測(cè)是通過(guò)旁路監(jiān)聽(tīng)的方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，同時(shí)判斷其中是否含有攻擊的企圖，并通過(guò)各種手段向管理員發(fā)出警告。入侵檢測(cè)系統(tǒng)不但可以發(fā)現(xiàn)來(lái)自外部的攻擊，也可以發(fā)現(xiàn)來(lái)自于內(nèi)部的惡意行為。是防火墻的必要補(bǔ)充和網(wǎng)絡(luò)安全的第二道閘門。從技術(shù)上看，入侵檢測(cè)系統(tǒng)可以分為三類：基于網(wǎng)絡(luò)的系統(tǒng)、基于主機(jī)的系統(tǒng)和二者混合的系統(tǒng)。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)放置在重要的網(wǎng)段內(nèi)，監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對(duì)每個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，絕大部分入侵檢測(cè)系統(tǒng)是基于網(wǎng)絡(luò)的。

（三）限制非授權(quán)的訪問(wèn)。在路由器和交換機(jī)上設(shè)置訪問(wèn)控制列表（ACL），在交換機(jī)端口進(jìn)行MAC地址綁定限制，可以有效地防止用戶非法的企圖。靈活的訪問(wèn)控制列表（ACL）能有效過(guò)濾阻止除指定地域和人員（中心機(jī)房、管理員）以外的IP對(duì)交換機(jī)的訪問(wèn)。而交換機(jī)端口MAC地址綁定限制使非法用戶根本無(wú)法上網(wǎng)，從接入層上杜

絕了非法用戶的接入。

二、網(wǎng)絡(luò)可靠性的對(duì)策及應(yīng)用

（一）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)冗余與容錯(cuò)。要提高網(wǎng)絡(luò)的安全可靠性，不但要提高單臺(tái)交換機(jī)的安全可靠性，還要通過(guò)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和配置冗余交換機(jī)來(lái)消除網(wǎng)絡(luò)上至少是主干網(wǎng)絡(luò)上單點(diǎn)故障。可以配備主備用主干交換機(jī)和主備用主干鏈路，通過(guò)一系列網(wǎng)絡(luò)技術(shù)（如熱備份路由器協(xié)議HSRP、VRRP等）和容錯(cuò)技術(shù)（如FEC/GEC技術(shù)等），使兩臺(tái)交換機(jī)同時(shí)發(fā)揮作用，均衡網(wǎng)絡(luò)負(fù)載，在特定情況下當(dāng)?shù)谝惶酚善魇褂檬。ɑ騃P流量轉(zhuǎn)移失?。r(shí)，仍能維護(hù)路由器間的連通性，達(dá)到網(wǎng)絡(luò)容錯(cuò)的目的，以及實(shí)現(xiàn)鏈路的冗余和故障的恢復(fù)，提高服務(wù)器的物理訪問(wèn)能力和穩(wěn)定性，從而增強(qiáng)網(wǎng)絡(luò)的安全性。

（二）應(yīng)用VLAN（虛擬局域網(wǎng)）及擴(kuò)展技術(shù)。虛擬網(wǎng)技術(shù)是近年來(lái)在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域興起的一項(xiàng)新技術(shù)。虛擬網(wǎng)把傳統(tǒng)的廣播域按需要分割成各個(gè)獨(dú)立的廣播域，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著改善和提高。利用虛擬網(wǎng)技術(shù)上的特點(diǎn)可以將不同小區(qū)、不同樓宇或不同應(yīng)用系統(tǒng)分配到不同的VLAN之中，實(shí)現(xiàn)不同小區(qū)、不同樓宇或不同應(yīng)用系統(tǒng)之間的邏輯隔離。另外，由于VLAN之間的通信是通過(guò)路由器實(shí)現(xiàn)的，路由器使得雙方不能直接連接，而路由器的包過(guò)濾或防火墻的功能可被用來(lái)對(duì)不同VLAN間用戶的通信做逐項(xiàng)檢查，通信可以按照網(wǎng)絡(luò)管理人員的要求被允許或禁止，從而實(shí)現(xiàn)不同小區(qū)、不同樓宇或不同應(yīng)用系統(tǒng)之間的訪問(wèn)控制，控制網(wǎng)絡(luò)上的廣播風(fēng)暴，抑制病毒傳播，防范黑客攻擊，增強(qiáng)網(wǎng)絡(luò)的安全性，提高網(wǎng)絡(luò)帶寬利用率。而VLAN擴(kuò)展技術(shù)的應(yīng)用又實(shí)現(xiàn)了樓宇接入交換機(jī)的端口隔離，進(jìn)一步縮小了廣播域，提升了網(wǎng)絡(luò)的性能。

（三）定期進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)備份。網(wǎng)絡(luò)數(shù)據(jù)備份不僅僅是指網(wǎng)絡(luò)上各計(jì)算機(jī)的文件備份，它實(shí)際上包含了整個(gè)網(wǎng)絡(luò)系統(tǒng)的一套備份體系。一套完整的備份方案應(yīng)該包括備份介質(zhì)和備份軟件的選擇。備份介質(zhì)目前主要使用的有硬盤、可讀CD等，隨著網(wǎng)絡(luò)的發(fā)展，系統(tǒng)日增復(fù)雜，數(shù)據(jù)量日增，硬盤是最理想的備份介質(zhì)。在備份策略上可以設(shè)置備份系統(tǒng)，每周進(jìn)行一次包括操作系統(tǒng)級(jí)的完全數(shù)據(jù)備份，每天進(jìn)行一次數(shù)據(jù)庫(kù)的完全數(shù)據(jù)備份。

三、網(wǎng)絡(luò)行為安全對(duì)策及應(yīng)用

（一）集中部署上網(wǎng)行為管理系統(tǒng)。網(wǎng)絡(luò)上充斥著大量的非法信息，合理的過(guò)濾并記錄用戶的上網(wǎng)行為日志無(wú)疑成了重中之重，它通過(guò)比對(duì)用戶所訪問(wèn)的地址URL，進(jìn)行判斷，如果不是黑名單列表中的放行，否則丟棄該數(shù)據(jù)包。并對(duì)用戶的IP和所訪問(wèn)的地址對(duì)應(yīng)關(guān)系做日志記錄。

（二）部署綜合網(wǎng)管設(shè)備日志管理系統(tǒng)。網(wǎng)絡(luò)設(shè)備在系統(tǒng)日志中產(chǎn)生大量的審計(jì)數(shù)據(jù)。對(duì)于這些系統(tǒng)審計(jì)日志進(jìn)行管理是所有的安全管理中最基礎(chǔ)的工作之一。而綜合網(wǎng)管設(shè)備日志管理系統(tǒng)，通常包括系統(tǒng)日志進(jìn)程模塊（用于接收設(shè)備發(fā)來(lái)的設(shè)備日志），系統(tǒng)日志配置模塊，一個(gè)或多個(gè)日志文件模塊（用于存儲(chǔ)所述設(shè)備日志文件），管理系統(tǒng)設(shè)備日志接收模塊，日志管理系統(tǒng)配置模塊，日志分析處理模塊（用于分析所接收的設(shè)備日志文件中的設(shè)備日志），應(yīng)用進(jìn)程處理模塊，數(shù)據(jù)庫(kù)存儲(chǔ)模塊。通過(guò)該系統(tǒng)建立起了與日志文件之間的管道連接，從而能夠進(jìn)行多種設(shè)備日志的實(shí)時(shí)處理，并靈活切換處理方式，大大提升了處理速度。

四、結(jié)語(yǔ)

總之，網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)工程，只有全面考慮系統(tǒng)的安全需求，將多種安全技術(shù)結(jié)合在一起，才能形成一個(gè)高效、通用、安全的網(wǎng)絡(luò)。而如何建設(shè)一個(gè)高速高效、資源豐富、應(yīng)用廣泛的油田網(wǎng)，也同樣需要綜合考慮各方面的因素。筆者有理由相信，在當(dāng)今信息網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)的時(shí)代，今后還會(huì)有更多新的網(wǎng)絡(luò)安全方面的問(wèn)題出現(xiàn)，對(duì)于出現(xiàn)的問(wèn)題，期待著與大家共同研究和探討。

參考文獻(xiàn)：

[1]陳彥峰、張長(zhǎng)春，電腦黑客攻防完全謀略[M].北京：航空工業(yè)出版社，2003:313-332.

[2]周國(guó)民，入侵檢測(cè)產(chǎn)品市場(chǎng)掃描[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004,5:64-67.

[3]仲治國(guó)、白海風(fēng)、陳會(huì)安，網(wǎng)管員實(shí)戰(zhàn)寶典[M].重慶：齊魯電子音像出版社，2006:242-310.

[4]劉敏、王曉靜、張威，中國(guó)鐵通網(wǎng)絡(luò)安全問(wèn)題及處理手段[J].信息網(wǎng)絡(luò)安全，2006,2:29-31.