唐宏 王蒙

摘 要：網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，伴隨的惡意攻擊技術(shù)也在發(fā)展和創(chuàng)新，以往的網(wǎng)絡(luò)邊界安全防護(hù)方案過于簡(jiǎn)單，已不能很好地排除企業(yè)網(wǎng)絡(luò)安全隱患，企業(yè)辦公計(jì)算機(jī)信息安全和信息保密成為一個(gè)突出的問題。本文將從通過發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)存在的問題，采取的技術(shù)措施，分析不足等方面，探討計(jì)算機(jī)網(wǎng)絡(luò)信息整體安全性解決方案。

關(guān)鍵詞：內(nèi)網(wǎng)安全管理系統(tǒng);網(wǎng)絡(luò)安全;入侵檢測(cè);物理隔離

1 概述

隨著計(jì)算機(jī)信息技術(shù)的高速發(fā)展，人們工作、生活越來越離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)是企業(yè)辦公的重要信息載體和傳輸渠道。網(wǎng)絡(luò)的普及不但提高了人們的工作效率，微信等通訊工具使人們通訊和交流變得越來越簡(jiǎn)單，各種云端存儲(chǔ)使海量信息儲(chǔ)存成為現(xiàn)實(shí)。

2 石油行業(yè)信息網(wǎng)絡(luò)安全管理存在的安全隱患

無論是反病毒還是反入侵，或者對(duì)其他安全威脅的防范，其目的主要都是保護(hù)數(shù)據(jù)的安全——避免公司內(nèi)部重要數(shù)據(jù)的被盜或丟失、無意識(shí)泄密、違反制度的泄密、主動(dòng)泄密等行為。

2.1 外部非法接入。包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與油田公司網(wǎng)絡(luò)的連接，而這些電腦在很多時(shí)候是游離于企業(yè)安全體系的有效管理之外的。

2.2 局域網(wǎng)病毒、惡意軟件的泛濫。公司內(nèi)部員工對(duì)電腦的了解甚少，沒有良好的防范意識(shí)，造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

2.3 資產(chǎn)管理失控。網(wǎng)絡(luò)用戶存在不確定性，每個(gè)資產(chǎn)硬件配件（cpu、硬盤、內(nèi)存等）隨意拆卸組裝，隨意更換計(jì)算機(jī)系統(tǒng)，應(yīng)用軟件安裝混亂，外設(shè)（U盤、移動(dòng)硬盤等）無節(jié)制使用。

2.4 網(wǎng)絡(luò)資源濫用。IP未經(jīng)允許被占用，違規(guī)使用代理，瘋狂下載電影占用網(wǎng)絡(luò)帶寬和流量，上班時(shí)間聊天、游戲等行為，影響網(wǎng)絡(luò)的穩(wěn)定，降低了運(yùn)行效率。

3 常用技術(shù)防范措施與應(yīng)用缺陷

3.1 防火墻技術(shù)。目前，防火墻技術(shù)已經(jīng)成為網(wǎng)絡(luò)中必不可少的環(huán)節(jié)，通過防火墻技術(shù)，實(shí)現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離，使用有效的安全設(shè)置一定程度上保障了企業(yè)局域網(wǎng)的安全。

3.2 計(jì)算機(jī)病毒防護(hù)技術(shù) 。即通過建立SYMANTEC網(wǎng)絡(luò)防病毒軟件系統(tǒng)，為企業(yè)內(nèi)部員工提供有效的桌面安全防護(hù)技術(shù)手段，提高了計(jì)算機(jī)終端防病毒與查殺病毒的能力。

3.3 入侵檢測(cè)系統(tǒng)。入侵檢測(cè)幫助辦公計(jì)算機(jī)系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。從網(wǎng)絡(luò)中的各個(gè)關(guān)鍵點(diǎn)收集和分析信息，確認(rèn)網(wǎng)絡(luò)中是否存在違反安全策略的行為和遭到網(wǎng)絡(luò)攻擊的可疑跡象。

3.4 應(yīng)用網(wǎng)絡(luò)分析器檢測(cè)網(wǎng)絡(luò)運(yùn)行狀況。部署如Sniffer等掃描工具，通過其對(duì)網(wǎng)絡(luò)中某臺(tái)主機(jī)或整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢測(cè)、分析、診斷、將網(wǎng)絡(luò)中的故障、安全、性能問題形象地展現(xiàn)出來。為監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況等提供了有效的管理手段。

3.5 交換機(jī)安全管理配置策略。綜合評(píng)估石油企業(yè)網(wǎng)絡(luò)，在節(jié)點(diǎn)設(shè)備部署上以可控設(shè)備為主，通常的可控設(shè)備都具備遵循標(biāo)準(zhǔn)協(xié)議的網(wǎng)絡(luò)安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪問控制、QOS等。通過一系列的安全策略，有效提高了對(duì)企業(yè)網(wǎng)絡(luò)的管理。

3.6 部署內(nèi)網(wǎng)安全管理系統(tǒng)。目前，企業(yè)局域網(wǎng)的安全威脅70%來自于內(nèi)部員工的計(jì)算機(jī)。針對(duì)計(jì)算機(jī)終端桌面存在的問題，目前出現(xiàn)的主流產(chǎn)品是內(nèi)網(wǎng)安全管理系統(tǒng)。其采取C/S架構(gòu)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)終端的強(qiáng)制性管理方法。后臺(tái)管理中心采取B/S結(jié)構(gòu)，實(shí)現(xiàn)與管理終端交互式管控。

4 多種技術(shù)措施聯(lián)動(dòng)，保障網(wǎng)絡(luò)與信息安全

4.1 網(wǎng)絡(luò)邊界管理 ①防火墻。通過包過濾技術(shù)來實(shí)現(xiàn)允許或阻隔訪問與被訪問的對(duì)象，對(duì)通過內(nèi)容進(jìn)行過濾以保護(hù)用戶有效合法獲取網(wǎng)絡(luò)信息;通過防火墻上的NAT技術(shù)實(shí)現(xiàn)內(nèi)外地址動(dòng)態(tài)轉(zhuǎn)換，使需要保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)地址映射成防火墻上的為數(shù)不多的互聯(lián)網(wǎng)IP地址。②入侵檢測(cè)系統(tǒng)。入侵檢測(cè)作為防火墻的合理補(bǔ)充，幫助辦公計(jì)算機(jī)系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。③防病毒系統(tǒng)。應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系;在網(wǎng)絡(luò)中心或匯聚中心選擇部署諸如Symantec等防病毒服務(wù)器，按照分級(jí)方式，實(shí)行服務(wù)器到終端機(jī)強(qiáng)制管理方式，實(shí)現(xiàn)逐級(jí)升級(jí)病毒定義文件，制定定期病毒庫(kù)升級(jí)與掃描策略，提高計(jì)算機(jī)終端防病毒與查殺病毒的能力。

4.2 安全桌面管理。桌面安全管理產(chǎn)品能夠解決網(wǎng)絡(luò)安全管理工作中遇到的常見問題。在網(wǎng)絡(luò)安全管理中提高了對(duì)計(jì)算機(jī)終端的控制能力，企業(yè)桌面安全管理系統(tǒng)包括區(qū)域配置管理、安全策略、補(bǔ)丁分發(fā)、數(shù)據(jù)查詢、終端管理、運(yùn)維監(jiān)控、報(bào)表管理、報(bào)警管理、級(jí)聯(lián)總控、系統(tǒng)維護(hù)等。

4.3 網(wǎng)絡(luò)涉密信息管理。對(duì)于網(wǎng)絡(luò)涉密信息要按等級(jí)采取相應(yīng)必要的隔離手段：①建立涉密專網(wǎng)，達(dá)到專網(wǎng)專用;②涉密信息通過技術(shù)手段進(jìn)行加密管理;③涉密信息與互聯(lián)網(wǎng)隔離。

4.4 網(wǎng)絡(luò)安全管理防范體系。根據(jù)防范網(wǎng)絡(luò)安全攻擊的需求、對(duì)應(yīng)安全機(jī)制需要的安全服務(wù)等因素以及需要達(dá)到的安全目標(biāo)，參照“系統(tǒng)安全工程能力成熟模型” 和信息安全管理標(biāo)準(zhǔn)等國(guó)際標(biāo)準(zhǔn)。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全和保密工作是一項(xiàng)復(fù)雜的系統(tǒng)工程，安全技術(shù)和安全設(shè)備的作用是有限的，而且受使用條件、投入資金諸多方面的約束，難以做到面面俱到，需要管理人員的責(zé)任心。另外在選擇安全產(chǎn)品或安全廠家時(shí)，要進(jìn)行充分前期調(diào)研，選擇在該領(lǐng)域有領(lǐng)先地位的產(chǎn)品或廠家進(jìn)行合作，會(huì)降低不必要的投資，這點(diǎn)很重要。

參考文獻(xiàn)：

[1]網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京大學(xué)出版社.