某工程公司各分部網絡應用的建立與安全

摘要：隨著INTERNET技術的全面覆蓋，和公司業務在各地的不斷拓展，以北海項目部為例，對網絡及設備進行選擇和實施，使得各項目部和各分部都能進行必要的網絡覆蓋，通過安全管理，能使公司的各類應用，安全在延伸到各個項目部及各分部。

關鍵詞：外埠 網絡 專線 安全

1 概述

計算機網絡近年來獲得了飛速的發展。在網絡高速發展的過程中，網絡技術的日趨成熟使得網絡連接更加容易，人們在享受網絡帶來便利的同時，給企業的網絡應用帶來了前所未有的方便和挑戰，公司各分部可以在建立先進的計算機網絡的基礎上，又可以依靠INIERNET和數據專線，將各分部分散的網絡與公司主干網聯系在一起。

在網絡日益使用廣泛和情況下，網絡的安全也日益受到威脅。在網絡應用大面積推廣的同時，網絡安全逐漸成為一個潛在的巨大問題，我們更應該了解網絡安全，做好防范措施，做好網絡信息的保密性、完整性和可用性。

2 各分公司及項目部現場，計算機網絡的推廣應用

為調整企業經營結構，優化資源配置，充分發揮集成優勢和整體優勢，提高國內外市場競爭能力，中國石化集團第二建設公司和中國石化集團南京設計院兩家企業于二○○九年六月進行重組，南京工程公司是以設計、工程項目總承包（EPC）和核心專業施工為主體的，以專利、專有技術和工藝包為核心的，面向國內外市場提供技術和管理服務的綜合性、一體化的國際工程公司，公司的計算機網絡及應用適應重組，進行了大面積的改造和提升，在這形勢下，將公司的計算機網絡和應用延伸到各分公司和項目部，是公司整體技術提高和發展的需要。

各分部通信網絡在功能設計上，既要考慮計算機技術和網絡技術現有的設備水平，也要考慮到各分部實際的接入水平，既要滿足分部的計算機應用，又要考慮與公司總部的網絡連接，有可能的話又要充分利用中石化內部的網絡資源。

2.1 網絡建設的指導思想

2.1.1 利用internet/intranet技術組網，實現intranet網的基本功能和服務，比如WWW、FTP、E-mail和數據庫服務等。

2.1.2 采用web/server或clint/server技術實現與公司總部的視頻會議、實時視頻監控。

2.1.3 通過VPN或數據專線為分部提供財務和供應的軟件使用，對一些EPC項目可提供PDS三維設計軟件、DOCUMENTUM文檔控制軟件等。

2.2 設備選型

設備選型主要包括交換設備、服務器、防火墻選型。

2.2.1 交換設備

采用三層交換技術的交換機，三層交換技術就是：二層交換技術＋三層轉發技術。三層交換技術的應用，解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。一個具有三層交換功能的設備，是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結合。

2.2.2 服務器

作為分部也是關鍵的設備，服務器應該具備速度高、存儲容量大、吞吐能力強、性能可靠、擴展性強、連網和管理功能強等特點。用于分部域名服務、DHCP分配、FTP服務、文件共享服務。

2.2.3 防火墻的選型

由于目前中心交換機提供了二、三層交換功能，局域網內子網間的路由通過三層交換實現。防火墻多用于廣域網的連接，在選擇路由器的時候，應該考慮其對于多媒體傳輸的支持，對多媒體服務語音/數據集成的支持。

2.3 各分部與公司總部網絡連接的拓撲圖

以北海項目部為例，建立網絡的拓撲圖見圖1。

2.4 北海項目設備基本配置

為了工作的很好開展，近期根據分部的工作內容和總部計算機應用的范圍，經公司領導同意，為各分部制定了標準化的設備配置，今后可以根據設備升級和應用的深入而作調整。

北海項目設備基本配置見表1。

3 網絡的安全保證

3.1 網絡安全的含義

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

3.2 網絡安全的特征

3.2.1 保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

3.2.2 完整性：數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

3.2.3 可用性：可被授權實體訪問并按需求使用的特性，即當需要時能否存取所需的信息，例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。

3.2.4 可控性：對信息的傳播及內容具有控制能力。

3.2.5 可審查性：出現的安全問題時提供依據與手段。

4 網絡安全現狀分析和網絡安全面臨的威脅

4.1 網絡安全現狀分析

互聯網和網絡應用以飛快的速度不斷發展，網絡應用日益普及并更加復雜，網絡安全問題是互聯網和網絡應用發展中面臨的重要問題。網絡攻擊行為日趨復雜，各種方法相互融合，使網絡安全防御更加困難。黑客攻擊行為組織性更強，攻擊目標從單純的追求“榮耀感”向獲取多方面實際利益的方向轉移，網上木馬、間諜程序、惡意網站、網絡仿冒等的出現和日趨泛濫；手機、掌上電腦等無線終端的處理能力和功能通用性提高，使其日趨接近個人計算機，針對這些無線終端的網絡攻擊已經開始出現，并將進一步發展。總之，網絡安全問題變得更加錯綜復雜，影響將不斷擴大，很難在短期內得到全面解決。總之，安全問題已經擺在了非常重要的位置上，網絡安全如果不加以防范，會嚴重地影響到網絡的應用。

4.2 網絡安全面臨的威脅

計算機網絡所面臨的威脅是多方面的，既包括對網絡中信息的威脅，也包括對網絡中設備的威脅，歸結起來，主要有三點：一是人為的無意失誤。如操作員安全配置不當造成系統存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的賬號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機網絡所面臨的最大威脅，比如敵手的攻擊和計算機犯罪都屬于這種情況。三是網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善，沒有及時補上系統漏洞造成的。此外，軟件公司的編程人員為便于維護而設置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”洞開，別人就能隨意進入系統，后果不堪設想。

5 計算機網絡安全的對策措施

5.1 明確網絡安全目標

要解決網絡安全，首先要明確實現目標。

①身份真實性：對通信實體身份的真實性進行識別。

②信息機密性：保證機密信息不會泄露給非授權的人或實體。

③信息完整性：保證數據的一致性，防止非授權用戶或實體對數據進行任何破壞。

④服務可用性：防止合法擁護對信息和資源的使用被不當的拒絕。

⑤不可否認性：建立有效的責任機智，防止實體否認其行為。

⑥系統可控性：能夠控制使用資源的人或實體的使用方式。

⑦系統易用性：在滿足安全要求的條件下，系統應該操作簡單、維護方便。

⑧可審查性：對出現問題的網絡安全問題提供調查的依據和手段。

5.2 采用相應網絡安全技術加強安全防范

①利用虛擬網絡技術，防止基于網絡監聽的入侵手段。

②利用防火墻技術保護網絡免遭黑客襲擊。

③利用病毒防護技術可以防毒、查毒和殺毒。

④利用入侵檢測技術提供實時的入侵檢測及采取相應的防護手段。

⑤安全掃描技術為發現網絡安全漏洞提供了強大的支持。

⑥采用認證和數字簽名技術。認證技術用以解決網絡通訊過程中通訊雙方的身份認可，數字簽名技術用于通信過程中的不可抵賴要求的實現。

⑦采用VPN技術。我們將利用公共網絡實現的私用網絡稱為虛擬私用網VPN。

⑧利用應用系統的安全技術以保證電子郵件和操作系統等應用平臺的安全。

5.3 制定網絡安全政策法規，普及計算機網絡安全教育

作為全球信息化程度很高的國家，我國已經非常重視信息系統安全，把確保信息系統安全列為國家安全戰略最重要的組成部分之一，采取了一系列旨在加強網絡基礎架構保密安全方面的政策措施。因此，要保證網絡安全有必要頒布網絡安全法律，并增加投入加強管理，確保信息系統安全。除此之外，還應注重普及計算機網絡安全教育，增強人們的網絡安全意識。

作者簡介：

朱建華（1964－），男，江蘇溧陽人，高級工程師，長期從事計算機應用的開發和網絡的建設及維護。