油田內(nèi)網(wǎng)安全管理策略探討

1、油田內(nèi)網(wǎng)安全管理策略探討摘要：近幾年，隨著油田內(nèi)部局域網(wǎng)的規(guī)模不斷擴(kuò)大，暴露出了 許多的安全問(wèn)題。原有的安全管理體系已經(jīng)很難滿足新的要求。為 此，必須要明確當(dāng)前油田內(nèi)網(wǎng)所面臨的安全隱患，然后找到相對(duì)應(yīng) 的措施來(lái)降低安全問(wèn)題所帶來(lái)的各種風(fēng)險(xiǎn)。關(guān)鍵詞：油田；內(nèi)部局域網(wǎng)；網(wǎng)絡(luò)安全oil field internal lan network security management strategy han haiyan(tianjin dagang oil field planl err, cangzhou061103, china) abstract:in recent years, with th

2、e expanding of oilfield internal lan,exposed the many safety issues the existing safety management system has been difficult to meet the new requirements.to this end, we must clear the security risks faced by the current oil field within the network,then find the corresponding measures to reduce the

3、 risk of a variety of security issueskeywords:oil;internal lan;network security油山內(nèi)網(wǎng)是一個(gè)有各種網(wǎng)絡(luò)硬件設(shè)備與信息系統(tǒng)所組成的復(fù)雜環(huán) 境，具有應(yīng)用系統(tǒng)多、重要數(shù)據(jù)多的顯著特點(diǎn)。隨著科學(xué)技術(shù)的進(jìn) 步，油田內(nèi)網(wǎng)建設(shè)雖然取得了一定的進(jìn)步，但是所面臨的威脅也越 來(lái)越多，為油田的信息安全與安全生產(chǎn)帶來(lái)了巨大的挑戰(zhàn)。一、油田內(nèi)網(wǎng)面臨的安全隱患（一）無(wú)法有效的監(jiān)控入侵行為在組建內(nèi)網(wǎng)雖然利用防火墻將內(nèi)外網(wǎng)之間分割了開(kāi)來(lái)為內(nèi)網(wǎng)帶來(lái) 了一定的安全性。但是如今的防火墻技術(shù)仍然是有缺陷的，這就使 得防火墻無(wú)法避免某些安全風(fēng)險(xiǎn)，同時(shí)如今的

4、網(wǎng)絡(luò)攻擊手段也在不 斷的更新，這就使得防火墻更加疲于應(yīng)付。一些手段高明的黑客或 者其他入侵者有能力找到防火墻中仍然存在的漏洞進(jìn)行入侵，而有 的入侵者本就在防火墻內(nèi)，這樣的入侵行為很難被檢測(cè)到，而h內(nèi) 網(wǎng)中的用戶也基本沒(méi)有能力進(jìn)行判斷。（二）無(wú)法有效的防御各種新型病毒與垃圾郵件如今的病毒以及病毒的變種發(fā)展的十分迅速，還有各種垃圾郵件 也是層出不窮，使得各種新的病毒與垃圾郵件流入到內(nèi)網(wǎng)中，而且 很難有效的進(jìn)行攔截?，F(xiàn)在的殺毒軟件對(duì)新病毒與垃圾軟件基本無(wú) 能為力，功能強(qiáng)大的能夠識(shí)別一些新的病毒但是誤殺率較高，還有 的殺毒軟件具有類似“沙盒” 一樣的功能，能夠?qū)⒖梢傻能浖ㄟ^(guò) 隔離運(yùn)行的方式來(lái)進(jìn)行預(yù)防

5、，但是這些手段都存在著一定的缺陷， 這就無(wú)法將所有的新型病毒都拒之門外，造成內(nèi)部網(wǎng)絡(luò)的病毒層出 不窮，而u基本所有的殺毒軟件與防火墻都不能夠很好的防范垃圾 郵件的傳播。（三）局域網(wǎng)中的安全漏洞無(wú)法進(jìn)行有效的統(tǒng)計(jì)在整個(gè)內(nèi)網(wǎng)之中還沒(méi)有能夠完全統(tǒng)一各種應(yīng)用，使得應(yīng)用較多、 較繁雜，例如都有的如www服務(wù)、nt服務(wù)、文件傳輸、域名服務(wù)； 還有其他不同的單位所采用的數(shù)據(jù)庫(kù)有可能就會(huì)不一樣，如有的用 的是sqlserver數(shù)據(jù)庫(kù)，有的用的是oracle數(shù)據(jù)庫(kù)；同時(shí)防火墻、 路由器也有可能采用的是不同的。任何一種應(yīng)用都不可能是完全安 全的，都會(huì)存在一定的缺陷或漏洞，有的是常見(jiàn)的已經(jīng)知道的，有 的則是還沒(méi)有被

6、發(fā)現(xiàn)的。而且各種新的漏洞則有層出不窮。因此對(duì) 正內(nèi)網(wǎng)進(jìn)行漏洞掃描基本成為了一個(gè)重要的環(huán)節(jié)，但是現(xiàn)在的手段 卻很難實(shí)現(xiàn)這一個(gè)功能。（四）對(duì)內(nèi)網(wǎng)用戶的監(jiān)控手段不足當(dāng)前，隨著信息技術(shù)的進(jìn)步，網(wǎng)絡(luò)攻擊手段也層出不窮，但是還 有很多都是來(lái)自于內(nèi)部的攻擊，有數(shù)據(jù)顯示有網(wǎng)絡(luò)攻擊70%都是來(lái) 自于內(nèi)部。從企業(yè)的網(wǎng)絡(luò)安全部署來(lái)看，很多都是對(duì)外防御，很少 注意到內(nèi)部安全，再加上內(nèi)部人員大多數(shù)都缺少足夠的信息安全意 識(shí)，而且內(nèi)部人員對(duì)內(nèi)部的情況也最清楚，這就讓內(nèi)部的攻擊更容 易成功。對(duì)于現(xiàn)在的技術(shù)手段，如果是內(nèi)部用戶因?yàn)楦腥静《径M(jìn) 行了非主動(dòng)性的對(duì)內(nèi)網(wǎng)的用戶進(jìn)行了攻擊，那么就很難找到這臺(tái)帶 毒計(jì)算機(jī)，如一臺(tái)感染了

7、蠕蟲(chóng)病毒的機(jī)器，會(huì)不斷的向局域網(wǎng)內(nèi)發(fā) 包，但是用戶卻沒(méi)有什么辦法來(lái)確定是哪一臺(tái)交換機(jī)的哪一個(gè)端 口。二、加強(qiáng)油山內(nèi)網(wǎng)安全的措施（一）采用入侵檢測(cè)系統(tǒng)雖然現(xiàn)在提倡使用入侵防御系統(tǒng)，但是入侵防御系統(tǒng)對(duì)于用戶的 要求較高，需要用戶能夠分別出哪些程序與進(jìn)程是無(wú)害的。而油田 局域網(wǎng)內(nèi)的大多數(shù)用戶并沒(méi)有這個(gè)能力。因此應(yīng)該在核心機(jī)上添加 入侵檢測(cè)系統(tǒng)，對(duì)于入侵檢測(cè)系統(tǒng)所捕獲的數(shù)據(jù)自有專業(yè)人士來(lái)進(jìn) 行分析，找出其屮不正常的數(shù)據(jù)流。利用入侵檢測(cè)系統(tǒng)當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò) 違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，入侵檢測(cè)系統(tǒng)中一般都有相應(yīng)的 安全策略來(lái)對(duì)不同的情況進(jìn)行響應(yīng)，而且用戶還能夠自定義自己需 耍的安全策略。防火墻與入侵檢測(cè)系統(tǒng)

8、之間通過(guò)聯(lián)動(dòng)協(xié)議能夠更好 的對(duì)攻擊進(jìn)行防御，例如入侵檢測(cè)系統(tǒng)通知防火墻拒絕此攻擊，并 且禁止源地址的繼續(xù)訪問(wèn)。這樣兩者之間能夠有效的互補(bǔ)不足。（二）防火墻之后串聯(lián)防毒網(wǎng)關(guān)，增強(qiáng)病毒查殺與垃圾郵件過(guò)濾 功能防毒網(wǎng)關(guān)在病毒殺除、關(guān)鍵字過(guò)濾（如色情、反動(dòng)相關(guān)的字詞）、 垃圾郵件阻止等方面有著較強(qiáng)的功能，能有效的彌補(bǔ)殺毒軟件與防 火墻的不足，同時(shí)防毒網(wǎng)關(guān)還具有部分防火墻的功能，同時(shí)還能夠 xj- vlan進(jìn)行劃分。防壽網(wǎng)關(guān)會(huì)對(duì)進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)進(jìn)行檢測(cè)， 并對(duì)http、ftp、smtp> imap這四種協(xié)議的數(shù)據(jù)進(jìn)行掃描，如果發(fā) 現(xiàn)病毒就會(huì)采取相應(yīng)的措施，例如隔離或者查殺。而且防毒網(wǎng)關(guān)還 具有垃

9、圾郵件的阻止功能也讓油田內(nèi)網(wǎng)免受垃圾郵件的干擾。（三）應(yīng)用漏洞掃描系統(tǒng)，規(guī)范各種應(yīng)用就現(xiàn)階段而言網(wǎng)絡(luò)漏洞掃描還是一種相當(dāng)先進(jìn)的系統(tǒng)安全評(píng)估技 術(shù)，能夠及時(shí)的發(fā)現(xiàn)內(nèi)網(wǎng)中的各種安全漏洞。然而這種技術(shù)雖然十 分先進(jìn)，但是仍然存在缺陷。因此在選用網(wǎng)絡(luò)漏洞掃描系統(tǒng)時(shí)要注 意這樣兒個(gè)標(biāo)準(zhǔn)：（1）必須要通過(guò)國(guó)家相應(yīng)的權(quán)威認(rèn)證，冃前主要 有這些組織的認(rèn)證，公安部信息安全產(chǎn)品測(cè)評(píng)屮心、國(guó)家信息安全 產(chǎn)品測(cè)評(píng)中心、解放軍安全產(chǎn)品測(cè)評(píng)中心、國(guó)家保密局測(cè)評(píng)認(rèn)證中 心；(2)漏洞掃描系統(tǒng)的最新漏洞數(shù)量與升級(jí)速度，非專業(yè)的人員 也要能夠容易掌握系統(tǒng)的升級(jí)方法與漏洞更新方法；(3)漏洞掃描 系統(tǒng)本身的安全性能，對(duì)于漏洞掃描系統(tǒng)本身的抗攻擊能力與安全 性必須耍進(jìn)行考查、確定；(4)是否支持分布式掃描，掃描系統(tǒng)必 須要具有靈活、攜帶方便、穿透防火墻的特性，如果掃描所發(fā)出的 數(shù)據(jù)包當(dāng)中的一部分被路由器、防火墻過(guò)濾，那么將會(huì)降低掃描的 準(zhǔn)確性。同時(shí)還必須要對(duì)各種應(yīng)用進(jìn)行進(jìn)一步的規(guī)范，例如數(shù)據(jù)庫(kù)，可以 考慮是否能夠采用同一種數(shù)據(jù)庫(kù)，防火墻與網(wǎng)關(guān)是否可以考慮統(tǒng)一 采購(gòu)?fù)环N產(chǎn)品。三、結(jié)語(yǔ)信息化建設(shè)推動(dòng)了油山的發(fā)展，但是由此帶來(lái)的內(nèi)網(wǎng)安全問(wèn)題也 比較突出。內(nèi)網(wǎng)安全問(wèn)題嚴(yán)重的甚至?xí)绊懙接蚮fl的正常生產(chǎn)的進(jìn) 行，為油山帶來(lái)巨大的損