張紹東

伴隨中國石油全面建設(shè)綜合性能源公司戰(zhàn)略的不斷推進(jìn)，信息網(wǎng)絡(luò)技術(shù)日益成為油田企業(yè)生存發(fā)展的技術(shù)保障。根據(jù)本人在油田企業(yè)信息管理工作中的多年實踐，對于企業(yè)網(wǎng)絡(luò)信息安全的方案進(jìn)行系統(tǒng)研究，從而為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞，為油田生產(chǎn)提供有力的信息技術(shù)支撐。

信息網(wǎng)絡(luò)；安全防護(hù)；安全策略；安全管理

網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。如今，Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們越來越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點。

1.風(fēng)險分析

風(fēng)險分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個重要功能。它要連續(xù)不斷地對網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測，對系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險進(jìn)行分析。風(fēng)險分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)安全不單是單點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。

2.安全技術(shù)策略

采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有---防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此。網(wǎng)絡(luò)加密技術(shù)(Ipsec)：采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機制中可選擇使用。多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護(hù)。網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。建立分層管理和各級安全管理中心。

3.防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。

物理安全。物理安全是保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構(gòu)在興建信息中心時首要的設(shè)置的條件。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施：產(chǎn)品保障、運行安全、防電磁輻射、保安防護(hù)。

防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。

VPN技術(shù)。VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

VPN有三種解決方案：如果企業(yè)的內(nèi)部人員移動或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）。如果要進(jìn)行企業(yè)內(nèi)部各分支機構(gòu)的互連，使用企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)是很好的方式。如果提供B2B之間的安全訪問服務(wù)，則可以考慮Extranet VPN。

網(wǎng)絡(luò)加密技術(shù)。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機制可對其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此，IP安全是整個TCP/IP安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。I主要包括對稱加密技術(shù)、非對稱加密/公開密鑰加密、RSA算法、身份認(rèn)證、密鑰備份和恢復(fù)、證書管理與撤消系統(tǒng)，以及多層次多級別的防病毒系統(tǒng)和入侵檢測、虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng)(Virtual Private Network，VPN)。

4.網(wǎng)絡(luò)安全服務(wù)

網(wǎng)絡(luò)是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時進(jìn)行相應(yīng)的調(diào)整。針對以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。

通信伙伴認(rèn)證。通信伙伴認(rèn)證服務(wù)的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認(rèn)證一般在通信之前進(jìn)行。但在必要的時候也可以在通信過程中隨時進(jìn)行。認(rèn)證有兩種形式，一種是檢查一方標(biāo)識的單方認(rèn)證，一種是通信雙方相互檢查對方標(biāo)識的相互認(rèn)證，通信伙伴認(rèn)證服務(wù)可以通過加密機制，數(shù)字簽名機制以及認(rèn)證機制實現(xiàn)。

訪問控制。訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識，口令，根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度。例如是否有權(quán)利用主機CPU運行程序，是否有權(quán)對數(shù)據(jù)庫進(jìn)行查詢和修改等等。訪問控制服務(wù)通過訪問控制機制實現(xiàn)。

數(shù)據(jù)保密。數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無權(quán)者閱讀。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進(jìn)行。數(shù)據(jù)保密服務(wù)可以通過加密機制和路由控制機制實現(xiàn)。

業(yè)務(wù)流分析保護(hù)。業(yè)務(wù)流分析保護(hù)服務(wù)的作用是防止通過分析業(yè)務(wù)流，來獲取業(yè)務(wù)量特征，信息長度以及信息源和目的地等信息。

業(yè)務(wù)流分析保護(hù)服務(wù)可以通過加密機制，偽裝業(yè)務(wù)流機制，路由控制機制實現(xiàn)。數(shù)據(jù)完整性保護(hù)。數(shù)據(jù)完整性保護(hù)服務(wù)的作用是保護(hù)存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時該服務(wù)也可以包含一定的恢復(fù)功能。

數(shù)據(jù)完整性保護(hù)服務(wù)可以通過加密機制，數(shù)字簽名機制以及數(shù)據(jù)完整性機制實現(xiàn)。

簽字。簽字服務(wù)通過數(shù)字簽名機制及公證機制實現(xiàn)，作用在于避免通信雙方對信息的來源發(fā)生爭議。

[1]辜川毅.計算機網(wǎng)絡(luò)安全技術(shù).北京：機械工業(yè)出版社,2004

[2]孔憲君,呂 濱.計算機網(wǎng)絡(luò)操作系統(tǒng)原理與應(yīng)用.北京:機械工業(yè)出版社,2003