劉超

（中石化華北石油工程有限公司測井分公司450000）

淺談油田企業(yè)網絡安全管理

劉超

（中石化華北石油工程有限公司測井分公司450000）

作為大型國有企業(yè)，網絡的安全與否直接關系到油田生產和科研是否能夠正常進行。本文通過分析企業(yè)網絡安全管理的現狀，結合企業(yè)網絡安全管理的相關技術分析，提出了適合本企業(yè)的網絡安全管理的策略。

油田企業(yè)；網絡；安全管理

1 企業(yè)網絡安全管理的現狀

網絡技術是一個相對復雜的系統(tǒng)，隨著技術的不斷提高，網絡的安全也日益受到威脅。主要表現以下幾個方面：

（1）存在網絡病毒，導致數據泄密，破壞網絡正常運行。

一旦有主機受病毒感染，病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器不能正常運行等。當前企業(yè)均為局域網，一旦局域網的某臺計算機受到病毒的侵襲，那么整個網絡中的計算機會在最短的時間內感染到局域網內所有計算機，攻擊整個局域網的管理系統(tǒng)，嚴重影響了企業(yè)正常的信息管理工作。用戶在企業(yè)內部實現資源共享時，若缺少必要的訪問控制策略，會造成存儲設備中各種重要信息泄密。

（2）網絡系統(tǒng)安全策略不健全，硬件裝置技術落后，產生網絡系統(tǒng)安全漏洞。

數據的丟失主要是由于局域網內的系統(tǒng)運行出現問題引起的，也有部分企業(yè)的數據丟失是由于技術人員的錯誤操作而導致的。但是系統(tǒng)中的安全策略不健全，均為攻擊者提供了截獲秘密的通道。另外，計算機操作系統(tǒng)尤其服務器系統(tǒng)也是被攻擊的重點，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機器本身而且會消耗大量的網絡資源，致使整個網絡陷入癱瘓，最終導致數據大量丟失。

（3）個別人員操作過失，管理人員技能水平低下，頻現網絡主觀缺陷。

目前越來越多的企業(yè)已經將互聯網作為企業(yè)工作的一個重要平臺。在這個過程中，難免會在不經意之中，瀏覽非法的WEB網站。而企業(yè)的局域網相關的病毒攔截功能并不到位，加之企業(yè)內部操作人員大都是非專業(yè)人員，這樣在很大程度上不利于企業(yè)信息的安全管理，這樣，網絡管理人員的技能水平低下，也是企業(yè)信息管理的網絡安全程度有的一個重要影響因素。

2 企業(yè)網絡安全管理技術分析

2.1 防火墻技術

防火墻是設置在不同網絡之間的一系列部件的組合，是提供信息安全服務、實現網絡和信息安全的基礎設施。能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，它可以實現了網絡之間訪問的有效控制，本身具有較強的抗攻擊能力，能夠有效隔離外部不明身份的對象，進而保護企業(yè)信息。它作為最常用的防盜系統(tǒng)又可以細分為代理服務防火墻和包過濾技術防火墻。

2.2 入侵檢測（IDS）技術入侵檢測是比較新型的網絡安全技術，它監(jiān)視并分析網絡系統(tǒng)中發(fā)生的事件，并對它們進行分析，尋找或者發(fā)現可能的繞過安全機制的入侵行為。入侵檢測系統(tǒng)作為一種積極主動的安全防護工具，提供了對內部攻擊、外部攻擊和誤操作的實時防護，也能夠在計算機網絡和系統(tǒng)受到危害之前進行報警、攔截和響應。

2.3 漏洞掃描技術

3 企業(yè)網絡安全管理的解決策略

3.1 實施防火墻方案，提高內部網絡安全性

根據網絡整體安全考慮，鑒于本企業(yè)頻繁內網與外網切換使用，容易出現企業(yè)內部網絡被攻擊，因此，需要采用適合本油田企業(yè)的防火墻。這樣，一方面，可以極大地提高一個企業(yè)內部網絡的安全性，并通過過濾不安全的服務而降低風險，可以保護網絡免受基于路由的攻擊。另一方面，精心選擇的適合本油田企業(yè)的應用協議使得網絡環(huán)境變得更加安全。例如企業(yè)使用的防火墻，可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。

3.2 配置CA入侵檢測系統(tǒng)，提高傳輸數據安全性

針對本油田企業(yè)的實際需求，可在核心交換機監(jiān)控端口部署CA入侵檢測系統(tǒng)，使其能夠在不同網段上的網絡都能將其檢測并響應。入侵檢測系統(tǒng)通過實時捕獲內外網之間傳輸的所有數據，尤其是大多數以動態(tài)圖形方式展現出來的數據，這樣管理員能夠實時掌握目前企業(yè)內外網之間正在進行的各種連接以及各類用戶數據的訪問情況，充分運用協議匹配和模式分析方法，有效地識別各種網絡攻擊和異常現象。對于諸如拒絕服務攻擊、非授權訪問嘗試、預攻擊探測等現象發(fā)生時，CA檢測系統(tǒng)就會發(fā)出實時報警。面對惡劣的網絡入侵事件，CA檢測引擎會直接發(fā)出阻斷信號，切斷發(fā)生攻擊的所有連接，結合企業(yè)已經配置好的防火墻策略，動態(tài)地調整企業(yè)網絡的防護體系。

3.3 啟動防病毒策略，彌補網絡安全漏洞

采用適合本油田企業(yè)的網絡防病毒軟件，建立整體防病毒體系，采取全面病毒防護，通過設置網絡中心對網絡內的服務器和所有計算機設備，將局域網內所有計算機創(chuàng)建在同一防病毒管理域內，并通過控制主服務器，對整個域進行防病毒管理，制定統(tǒng)一的防毒策略，設定域掃描作業(yè)，安排系統(tǒng)自動查殺病毒。同時，根據企業(yè)內部通知或官方網站公布的流行性或重大惡性病毒及時下載系統(tǒng)補丁和殺毒工具，采取相關措施，防范于未然。

3.4 定期管理重要資料，保證數據安全性

為了防止各種軟硬件故障、病毒侵襲和黑客破壞等原因造成網絡系統(tǒng)崩潰的現象出現，網絡用戶應定期對重要資料進行備份，選擇功能完善、使用靈活的備份軟件配合各種災難恢復軟件，全面地保護數據的安全。定期更新系統(tǒng)軟件、應用軟件及信息數據，自覺對文件進行分級管理，注意對系統(tǒng)文件、重要的可執(zhí)行文件進行寫保護，對敏感的設備和數據要建立必要的物理或邏輯隔離措施，進而實現數據的保密性。

[1]潘偉.網絡信息系統(tǒng)安全保密一體化解決方案[J].網絡安全技術與應用，2009（09）：17.

[2]李中偉.關于網絡信息安全管理的思考[J].中小企業(yè)管理與科技（下旬刊），2011（10）：39.

作為增強系統(tǒng)安全性的重要技術，漏洞掃描能夠有效地預先評估和分析系統(tǒng)中的安全問題，提供詳盡的檢測報告和切實可行的網絡安全漏洞解決方案，使系統(tǒng)管理員在黑客入侵之前將系統(tǒng)可能存在的各種安全漏洞修補好，避免黑客的入侵而造成不同程度的損失。

TP393.08

A

1004-7344（2016）28-0281-01

2016-9-9