【摘要】隨著油田企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)展，做好網(wǎng)絡(luò)運(yùn)維與安全管理工作已上升到促進(jìn)油田生產(chǎn)建設(shè)的戰(zhàn)略性地位。為將網(wǎng)絡(luò)安全管理從單純的維護(hù)網(wǎng)絡(luò)運(yùn)行暢通演變?yōu)樘岣叻?wù)能力，保障信息系統(tǒng)可用性、連續(xù)性、安全性，將人、技術(shù)、管理等有機(jī)的結(jié)合起來(lái)，形成技術(shù)有保障、管理有章法、人員守流程的綜合保障體系。

【關(guān)鍵詞】?jī)?nèi)網(wǎng)安全；網(wǎng)絡(luò)安全域；信息安全體系；網(wǎng)絡(luò)終端行為控制

1、前言

近年來(lái)，網(wǎng)絡(luò)安全事件的頻頻發(fā)生，人們對(duì)外部入侵和Internet的安全日益重視，但來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊卻有愈演愈烈之勢(shì)，內(nèi)網(wǎng)安全成為企業(yè)管理的隱患。信息資料被非法泄露、拷貝、篡改，往往給各行業(yè)企事業(yè)單位造成重大損失。針對(duì)這些問(wèn)題，本文以風(fēng)城油田作業(yè)區(qū)內(nèi)網(wǎng)安全管理手段為例，闡述油田內(nèi)網(wǎng)安全管理體系。風(fēng)城油田作業(yè)區(qū)信息管理部門(mén)建立了一套以技術(shù)體系及管理體系構(gòu)成的信息安全體系。由技術(shù)體系加強(qiáng)網(wǎng)絡(luò)管理力度、豐富網(wǎng)絡(luò)管理手段、降低網(wǎng)絡(luò)運(yùn)維管理成本。由管理體系提高員工網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范意識(shí)。

2、油田內(nèi)網(wǎng)安全體系

如何使內(nèi)部網(wǎng)絡(luò)始終處于安全、可靠、保密的環(huán)境下運(yùn)行，幫助作業(yè)區(qū)各類(lèi)業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理，保障各類(lèi)業(yè)務(wù)正常安全運(yùn)行是目前作業(yè)區(qū)網(wǎng)絡(luò)管理一大難題。根據(jù)風(fēng)城作業(yè)區(qū)實(shí)際情況，信息管理部門(mén)將管理、技術(shù)和策略有機(jī)結(jié)合，構(gòu)成了一套信息安全體系（圖1）。

圖1：信息安全體系圖

3、油田內(nèi)網(wǎng)管理

根據(jù)油田網(wǎng)絡(luò)管理現(xiàn)狀，在加強(qiáng)技術(shù)防護(hù)手段的同時(shí)，整體規(guī)劃，運(yùn)用內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)加強(qiáng)桌面計(jì)算機(jī)終端管理力度，通過(guò)劃分網(wǎng)絡(luò)安全域明確網(wǎng)絡(luò)邊界，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)與管理，利用交換機(jī)聚合技術(shù)提高網(wǎng)絡(luò)傳輸能力，降低網(wǎng)絡(luò)運(yùn)維管理成本，同時(shí)，完善網(wǎng)絡(luò)安全管理制度與流程，將人、技術(shù)、管理有機(jī)結(jié)合，提高網(wǎng)絡(luò)整體抗風(fēng)險(xiǎn)能力。

3.1劃分內(nèi)部各子網(wǎng)安全域，明確各內(nèi)部網(wǎng)絡(luò)邊界

安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來(lái)劃分不同邏輯區(qū)域，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問(wèn)控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全區(qū)域共享同樣的安全策略。

以業(yè)務(wù)角度為主，輔以安全角度，充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，以較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。通過(guò)邏輯劃分VLAN和網(wǎng)絡(luò)隔離2種方式將網(wǎng)絡(luò)劃分為辦公域、接入域、服務(wù)（計(jì)算）域、管理域（運(yùn)維與管理的主要區(qū)域）以及自動(dòng)化生產(chǎn)域，不同的業(yè)務(wù)部門(mén)身份采用不同級(jí)別的安全防護(hù)機(jī)制，如采用VLAN技術(shù)隔離辦公域中各部門(mén)、單位；在服務(wù)（計(jì)算）域邊界部署防火墻，配置網(wǎng)絡(luò)安全策略，對(duì)處于不同安全級(jí)別域的用戶(hù)訪問(wèn)進(jìn)行審查控制；在自動(dòng)化生產(chǎn)域部署隔離網(wǎng)閘，隔離自動(dòng)化專(zhuān)網(wǎng)與辦公網(wǎng)絡(luò)。網(wǎng)閘的安全性體現(xiàn)在鏈路層斷開(kāi)，直接處理應(yīng)用層數(shù)據(jù)，對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行內(nèi)容檢查和控制，在網(wǎng)絡(luò)之間交換的數(shù)據(jù)都是應(yīng)用層的數(shù)據(jù)。

3.2運(yùn)用內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)加強(qiáng)網(wǎng)絡(luò)終端管理力度

內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分，其安全性也受到越來(lái)越多的重視。油田辦公網(wǎng)絡(luò)作為油田公司下級(jí)網(wǎng)絡(luò)構(gòu)成，它的安全與否直接決定了油田公司整體網(wǎng)絡(luò)安全級(jí)別。經(jīng)調(diào)查分析，油田企業(yè)內(nèi)網(wǎng)主要面臨的安全威脅有：資產(chǎn)管理失控、網(wǎng)絡(luò)資源濫用、病毒蠕蟲(chóng)入侵、重要信息泄密、補(bǔ)丁管理混亂等，針對(duì)常見(jiàn)內(nèi)網(wǎng)隱患，風(fēng)城油田作業(yè)區(qū)信息檔案管理站利用油田公司部署的內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)（VRV EDP）管理工具對(duì)作業(yè)區(qū)網(wǎng)絡(luò)客戶(hù)端進(jìn)行定時(shí)檢查與梳理。檢查客戶(hù)端安裝補(bǔ)丁情況、核實(shí)硬件變更情況等檢查手段，有效的降低了內(nèi)網(wǎng)安全風(fēng)險(xiǎn)級(jí)別。

3.3充分利用交換機(jī)提供的技術(shù)手段，降低網(wǎng)絡(luò)建設(shè)與運(yùn)維成本

隨著風(fēng)城作業(yè)區(qū)信息化、自動(dòng)化程度的飛速發(fā)展，對(duì)更高帶寬需求的不斷增長(zhǎng)。在大多數(shù)情況下，雖然可以使用以太網(wǎng)設(shè)備中更高帶寬的端口類(lèi)型作為增加網(wǎng)絡(luò)帶寬的方法，但因?yàn)樾枰黾痈嗟某杀荆运⒉豢偸强尚械?。進(jìn)而采用另一種擴(kuò)展帶寬的方法，該方法通過(guò)聚合（也就是捆綁）平行連接來(lái)實(shí)現(xiàn)，可以將多條鏈路捆綁起來(lái)形成一條鏈路。捆綁之后多條鏈路將從邏輯上視為一條網(wǎng)絡(luò)鏈路，傳輸數(shù)據(jù)量也相應(yīng)得到提升。從而極大的提高了數(shù)據(jù)傳輸速度。

3.4建立信息安全管理體系

嚴(yán)密、完整的管理體制，不但可以最大限度的在確保信息安全的前提下實(shí)現(xiàn)信息資源共享，而且可以彌補(bǔ)技術(shù)性安全隱患的部分弱點(diǎn)。管理體系的建立和實(shí)施能為網(wǎng)絡(luò)的管理和長(zhǎng)期監(jiān)控提供有理可依的指導(dǎo)性理論。管理體系的組成可分為法律、制度和培訓(xùn)三部分。

與安全有關(guān)的法律法規(guī)是信息系統(tǒng)安全的最高行為準(zhǔn)則，是制定管理制度參考的標(biāo)準(zhǔn)。依照安全需求制定一系列內(nèi)部規(guī)章制度，從責(zé)任、人員、部位、行為等多方面對(duì)需要保護(hù)什么、為什么需要保護(hù)以及怎樣保護(hù)涉密信息系統(tǒng)的安全進(jìn)行具體規(guī)定，并通過(guò)全面推行，使之貫穿到日常具體工作當(dāng)中。風(fēng)城油田作業(yè)區(qū)成立了計(jì)算機(jī)兼職管理員小組進(jìn)行安全培訓(xùn)。培訓(xùn)的內(nèi)容包括法律法規(guī)、內(nèi)部制度、安全意識(shí)和與崗位相關(guān)的重點(diǎn)安全防范技能等。加強(qiáng)了各科室單位與前線(xiàn)基層單位員工的計(jì)算機(jī)基礎(chǔ)知識(shí)與網(wǎng)絡(luò)安全知識(shí)。使員工能主動(dòng)規(guī)避各類(lèi)違規(guī)行為，從而降低了網(wǎng)絡(luò)安全隱患。

4、結(jié)束語(yǔ)

一種管理體系的建立涉及到管理理念、管理模式的變革，信息安全體系在風(fēng)城油田作業(yè)區(qū)的推廣應(yīng)用，既是對(duì)作業(yè)區(qū)網(wǎng)絡(luò)安全管理工作的加強(qiáng)，也有益于用戶(hù)網(wǎng)絡(luò)行為的引導(dǎo)和規(guī)范。從實(shí)際推廣效果看， 風(fēng)城作業(yè)區(qū)內(nèi)網(wǎng)管理模式適合作業(yè)區(qū)現(xiàn)狀， 減少了網(wǎng)絡(luò)安全方面的威脅， 增強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的安全等級(jí)。

筆者認(rèn)為要真正確保計(jì)算機(jī)網(wǎng)絡(luò)及其相關(guān)信息的安全，除了一些必要的技術(shù)手段外。最重要的是信息安全管理體系的建立和實(shí)施，只有建立并切實(shí)實(shí)施信息安全管理體系，通過(guò)人、技術(shù)、管理等多方面的手段多管齊下。調(diào)動(dòng)各方積極性，引起領(lǐng)導(dǎo)重視，明確三方責(zé)任，使網(wǎng)絡(luò)安全管理日?；⒊B(tài)化。只有這樣才能真正做到內(nèi)網(wǎng)安全。

參考文獻(xiàn)

[1]曾朝蓉.內(nèi)網(wǎng)安全管理方案探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009年11月

[2]金波，張兵，王志海.內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討[J].信息安全與通信保密，2007.

[3]甄保社.解放軍醫(yī)學(xué)圖書(shū)館內(nèi)網(wǎng)安全管理系統(tǒng)[J].中華醫(yī)學(xué)圖書(shū)情報(bào)雜志，2009年18

[4]蔣蘋(píng).計(jì)算機(jī)信息系統(tǒng)安全體系設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué)，2003年25