摘要：隨著INTERNET技術(shù)的全面覆蓋，和公司業(yè)務(wù)在各地的不斷拓展，以北海項目部為例，對網(wǎng)絡(luò)及設(shè)備進(jìn)行選擇和實施，使得各項目部和各分部都能進(jìn)行必要的網(wǎng)絡(luò)覆蓋，通過安全管理，能使公司的各類應(yīng)用，安全在延伸到各個項目部及各分部。

關(guān)鍵詞：外埠 網(wǎng)絡(luò) 專線 安全

1 概述

計算機(jī)網(wǎng)絡(luò)近年來獲得了飛速的發(fā)展。在網(wǎng)絡(luò)高速發(fā)展的過程中，網(wǎng)絡(luò)技術(shù)的日趨成熟使得網(wǎng)絡(luò)連接更加容易，人們在享受網(wǎng)絡(luò)帶來便利的同時，給企業(yè)的網(wǎng)絡(luò)應(yīng)用帶來了前所未有的方便和挑戰(zhàn)，公司各分部可以在建立先進(jìn)的計算機(jī)網(wǎng)絡(luò)的基礎(chǔ)上，又可以依靠INIERNET和數(shù)據(jù)專線，將各分部分散的網(wǎng)絡(luò)與公司主干網(wǎng)聯(lián)系在一起。

在網(wǎng)絡(luò)日益使用廣泛和情況下，網(wǎng)絡(luò)的安全也日益受到威脅。在網(wǎng)絡(luò)應(yīng)用大面積推廣的同時，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題，我們更應(yīng)該了解網(wǎng)絡(luò)安全，做好防范措施，做好網(wǎng)絡(luò)信息的保密性、完整性和可用性。

2 各分公司及項目部現(xiàn)場，計算機(jī)網(wǎng)絡(luò)的推廣應(yīng)用

為調(diào)整企業(yè)經(jīng)營結(jié)構(gòu)，優(yōu)化資源配置，充分發(fā)揮集成優(yōu)勢和整體優(yōu)勢，提高國內(nèi)外市場競爭能力，中國石化集團(tuán)第二建設(shè)公司和中國石化集團(tuán)南京設(shè)計院兩家企業(yè)于二○○九年六月進(jìn)行重組，南京工程公司是以設(shè)計、工程項目總承包（EPC）和核心專業(yè)施工為主體的，以專利、專有技術(shù)和工藝包為核心的，面向國內(nèi)外市場提供技術(shù)和管理服務(wù)的綜合性、一體化的國際工程公司，公司的計算機(jī)網(wǎng)絡(luò)及應(yīng)用適應(yīng)重組，進(jìn)行了大面積的改造和提升，在這形勢下，將公司的計算機(jī)網(wǎng)絡(luò)和應(yīng)用延伸到各分公司和項目部，是公司整體技術(shù)提高和發(fā)展的需要。

各分部通信網(wǎng)絡(luò)在功能設(shè)計上，既要考慮計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)現(xiàn)有的設(shè)備水平，也要考慮到各分部實際的接入水平，既要滿足分部的計算機(jī)應(yīng)用，又要考慮與公司總部的網(wǎng)絡(luò)連接，有可能的話又要充分利用中石化內(nèi)部的網(wǎng)絡(luò)資源。

2.1 網(wǎng)絡(luò)建設(shè)的指導(dǎo)思想

2.1.1 利用internet/intranet技術(shù)組網(wǎng)，實現(xiàn)intranet網(wǎng)的基本功能和服務(wù)，比如WWW、FTP、E-mail和數(shù)據(jù)庫服務(wù)等。

2.1.2 采用web/server或clint/server技術(shù)實現(xiàn)與公司總部的視頻會議、實時視頻監(jiān)控。

2.1.3 通過VPN或數(shù)據(jù)專線為分部提供財務(wù)和供應(yīng)的軟件使用，對一些EPC項目可提供PDS三維設(shè)計軟件、DOCUMENTUM文檔控制軟件等。

2.2 設(shè)備選型

設(shè)備選型主要包括交換設(shè)備、服務(wù)器、防火墻選型。

2.2.1 交換設(shè)備

采用三層交換技術(shù)的交換機(jī)，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。三層交換技術(shù)的應(yīng)用，解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。一個具有三層交換功能的設(shè)備，是一個帶有第三層路由功能的第二層交換機(jī)，但它是二者的有機(jī)結(jié)合。

2.2.2 服務(wù)器

作為分部也是關(guān)鍵的設(shè)備，服務(wù)器應(yīng)該具備速度高、存儲容量大、吞吐能力強(qiáng)、性能可靠、擴(kuò)展性強(qiáng)、連網(wǎng)和管理功能強(qiáng)等特點。用于分部域名服務(wù)、DHCP分配、FTP服務(wù)、文件共享服務(wù)。

2.2.3 防火墻的選型

由于目前中心交換機(jī)提供了二、三層交換功能，局域網(wǎng)內(nèi)子網(wǎng)間的路由通過三層交換實現(xiàn)。防火墻多用于廣域網(wǎng)的連接，在選擇路由器的時候，應(yīng)該考慮其對于多媒體傳輸?shù)闹С?，對多媒體服務(wù)語音/數(shù)據(jù)集成的支持。

2.3 各分部與公司總部網(wǎng)絡(luò)連接的拓?fù)鋱D

以北海項目部為例，建立網(wǎng)絡(luò)的拓?fù)鋱D見圖1。

2.4 北海項目設(shè)備基本配置

為了工作的很好開展，近期根據(jù)分部的工作內(nèi)容和總部計算機(jī)應(yīng)用的范圍，經(jīng)公司領(lǐng)導(dǎo)同意，為各分部制定了標(biāo)準(zhǔn)化的設(shè)備配置，今后可以根據(jù)設(shè)備升級和應(yīng)用的深入而作調(diào)整。

北海項目設(shè)備基本配置見表1。

3 網(wǎng)絡(luò)的安全保證

3.1 網(wǎng)絡(luò)安全的含義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

3.2 網(wǎng)絡(luò)安全的特征

3.2.1 保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。

3.2.2 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

3.2.3 可用性：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時能否存取所需的信息，例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊。

3.2.4 可控性：對信息的傳播及內(nèi)容具有控制能力。

3.2.5 可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段。

4 網(wǎng)絡(luò)安全現(xiàn)狀分析和網(wǎng)絡(luò)安全面臨的威脅

4.1 網(wǎng)絡(luò)安全現(xiàn)狀分析

互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用以飛快的速度不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用日益普及并更加復(fù)雜，網(wǎng)絡(luò)安全問題是互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用發(fā)展中面臨的重要問題。網(wǎng)絡(luò)攻擊行為日趨復(fù)雜，各種方法相互融合，使網(wǎng)絡(luò)安全防御更加困難。黑客攻擊行為組織性更強(qiáng)，攻擊目標(biāo)從單純的追求“榮耀感”向獲取多方面實際利益的方向轉(zhuǎn)移，網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)絡(luò)仿冒等的出現(xiàn)和日趨泛濫；手機(jī)、掌上電腦等無線終端的處理能力和功能通用性提高，使其日趨接近個人計算機(jī)，針對這些無線終端的網(wǎng)絡(luò)攻擊已經(jīng)開始出現(xiàn)，并將進(jìn)一步發(fā)展。總之，網(wǎng)絡(luò)安全問題變得更加錯綜復(fù)雜，影響將不斷擴(kuò)大，很難在短期內(nèi)得到全面解決?？傊?，安全問題已經(jīng)擺在了非常重要的位置上，網(wǎng)絡(luò)安全如果不加以防范，會嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。

4.2 網(wǎng)絡(luò)安全面臨的威脅

計算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)中設(shè)備的威脅，歸結(jié)起來，主要有三點：一是人為的無意失誤。如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞，用戶安全意識不強(qiáng)，口令選擇不慎，將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，比如敵手的攻擊和計算機(jī)犯罪都屬于這種情況。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。絕大部分網(wǎng)絡(luò)入侵事件都是因為安全措施不完善，沒有及時補(bǔ)上系統(tǒng)漏洞造成的。此外，軟件公司的編程人員為便于維護(hù)而設(shè)置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”洞開，別人就能隨意進(jìn)入系統(tǒng)，后果不堪設(shè)想。

5 計算機(jī)網(wǎng)絡(luò)安全的對策措施

5.1 明確網(wǎng)絡(luò)安全目標(biāo)

要解決網(wǎng)絡(luò)安全，首先要明確實現(xiàn)目標(biāo)。

①身份真實性：對通信實體身份的真實性進(jìn)行識別。

②信息機(jī)密性：保證機(jī)密信息不會泄露給非授權(quán)的人或?qū)嶓w。

③信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進(jìn)行任何破壞。

④服務(wù)可用性：防止合法擁護(hù)對信息和資源的使用被不當(dāng)?shù)木芙^。

⑤不可否認(rèn)性：建立有效的責(zé)任機(jī)智，防止實體否認(rèn)其行為。

⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。

⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)該操作簡單、維護(hù)方便。

⑧可審查性：對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

5.2 采用相應(yīng)網(wǎng)絡(luò)安全技術(shù)加強(qiáng)安全防范

①利用虛擬網(wǎng)絡(luò)技術(shù)，防止基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。

②利用防火墻技術(shù)保護(hù)網(wǎng)絡(luò)免遭黑客襲擊。

③利用病毒防護(hù)技術(shù)可以防毒、查毒和殺毒。

④利用入侵檢測技術(shù)提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段。

⑤安全掃描技術(shù)為發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞提供了強(qiáng)大的支持。

⑥采用認(rèn)證和數(shù)字簽名技術(shù)。認(rèn)證技術(shù)用以解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名技術(shù)用于通信過程中的不可抵賴要求的實現(xiàn)。

⑦采用VPN技術(shù)。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)VPN。

⑧利用應(yīng)用系統(tǒng)的安全技術(shù)以保證電子郵件和操作系統(tǒng)等應(yīng)用平臺的安全。

5.3 制定網(wǎng)絡(luò)安全政策法規(guī)，普及計算機(jī)網(wǎng)絡(luò)安全教育

作為全球信息化程度很高的國家，我國已經(jīng)非常重視信息系統(tǒng)安全，把確保信息系統(tǒng)安全列為國家安全戰(zhàn)略最重要的組成部分之一，采取了一系列旨在加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)保密安全方面的政策措施。因此，要保證網(wǎng)絡(luò)安全有必要頒布網(wǎng)絡(luò)安全法律，并增加投入加強(qiáng)管理，確保信息系統(tǒng)安全。除此之外，還應(yīng)注重普及計算機(jī)網(wǎng)絡(luò)安全教育，增強(qiáng)人們的網(wǎng)絡(luò)安全意識。

作者簡介：

朱建華（1964－），男，江蘇溧陽人，高級工程師，長期從事計算機(jī)應(yīng)用的開發(fā)和網(wǎng)絡(luò)的建設(shè)及維護(hù)。