油田企業(yè)網(wǎng)絡信息安全與技術防范

潘青

一、引言

伴隨著油田的不斷發(fā)展，計算機網(wǎng)絡應用已經(jīng)成為一個不可缺少的平臺。在油田信息安全領域，如何最大限度地減少或避免因信息泄漏、破壞所造成的經(jīng)濟損失，是擺在我們面前亟需妥善解決的一項具有重大戰(zhàn)略意義的課題。

二、網(wǎng)絡面臨的安全威脅

計算機網(wǎng)絡所面臨的威脅主要有對網(wǎng)絡中信息的威脅和對網(wǎng)絡中設備的威脅兩種。影響計算機網(wǎng)絡的因素有很多，其所面臨的威脅也就來自多個方面，主要有：

①人為的失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享都會對網(wǎng)絡安全帶來威脅；

②信息截取：通過信道進行信息的截取，獲取機密信息，或通過信息的流量分析，通信頻度、長度分析，推出有用信息，這種方式不破壞信息的內(nèi)容，不易被發(fā)現(xiàn)。這種方式是在過去軍事對抗、政治對抗和當今經(jīng)濟對抗中最常用的，也是最有效的方式；

③內(nèi)部竊密和破壞：是指內(nèi)部或本系統(tǒng)的人員通過網(wǎng)絡竊取機密、泄漏或更改信息以及破壞信息系統(tǒng)。據(jù)美國聯(lián)邦調(diào)查局1997年9月進行的一項調(diào)查顯示，70%的攻擊是從內(nèi)部發(fā)動的，只有30%是從外部攻進來的；

④黑客攻擊：黑客已經(jīng)成為網(wǎng)絡安全的克星.近年來，特別是2000年2月7-9日，美國著名的雅虎、亞馬遜等8大頂級網(wǎng)站接連遭受來歷不明的電子攻擊，導致服務系統(tǒng)中斷，整個因特網(wǎng)使用率2d時間內(nèi)下降20%，這次攻擊給這些網(wǎng)站的直接損失達12億美元，間接經(jīng)濟損失高達10億美元；

⑤技術缺陷：由于認識能力和技術發(fā)展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，由此可造成網(wǎng)絡的安全隱患。其次，網(wǎng)絡硬件、軟件產(chǎn)品多數(shù)依靠進口，如全球90%的微機都裝微軟的Windows操作系統(tǒng)，許多網(wǎng)絡黑客就是通過微軟操作系統(tǒng)的漏洞和后門而進入網(wǎng)絡的，這方面的報道經(jīng)常見諸于報端；

⑥病毒：從1988年報道的第一例病毒（蠕蟲病毒）侵入美國軍方互聯(lián)網(wǎng)，導致8500臺計算機染毒和6500臺停機，造成直接經(jīng)濟損失近1億美元，此后這類事情此起彼伏，從2001年紅色代碼到今年的沖擊波和震蕩波等病毒發(fā)作的情況看，計算機病毒感染方式已從單機的被動傳播變成了利用網(wǎng)絡的主動傳播，不僅帶來網(wǎng)絡的破壞，而且造成網(wǎng)上信息的泄漏，特別是在專用網(wǎng)絡上，病毒感染已成為網(wǎng)絡安全的嚴重威脅。另外，對網(wǎng)絡安全的威脅還包括自然災害等不可抗力因素。

三、主要網(wǎng)絡安全技術

為了確保網(wǎng)絡信息的安全，在實際應用中通常采用的安全技術有如下幾種。

（一）病毒防范技術

計算機病毒實際上就是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害計算機系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權攻擊成功后，攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序，為以后攻擊系統(tǒng)、網(wǎng)絡提供方便條件。當前的殺毒軟件正面臨著互聯(lián)網(wǎng)的挑戰(zhàn)。目前，世界上每天有13～50種新病毒出現(xiàn)，并且60%的病毒都是通過互聯(lián)網(wǎng)來進行傳播。為了能有效保護企業(yè)的信息資源，要求殺毒軟件能支持所有企業(yè)可能用到的互聯(lián)網(wǎng)協(xié)議及郵件系統(tǒng)，能適應并及時跟上瞬息萬變的時代步伐。在這些方面，國外的一些殺毒軟件如Norton、McAfee、熊貓衛(wèi)士等走在了前面。而國內(nèi)的大部分殺毒軟件大都專注在單機版殺毒上，雖然有部分廠商推出了網(wǎng)絡版的殺毒產(chǎn)品，只是在桌面端及文件服務器上進行防護，防護范圍依然較窄，所以國內(nèi)殺毒廠商應及早加強在網(wǎng)關或郵件服務器上的防護。只有有效截斷病毒的入口，才能避免企業(yè)及用戶由于病毒的爆發(fā)而引起的經(jīng)濟損失。

（二）防火墻技術

防火墻技術是通過對網(wǎng)絡作拓撲結(jié)構(gòu)和服務類型上的隔離來加強網(wǎng)絡安全的一種手段。它所保護的對象是網(wǎng)絡中有明確閉合邊界的一個網(wǎng)塊，而它所防范的對象是來自被保護網(wǎng)塊外部的安全威脅。目前防火墻產(chǎn)品主要有如下幾種：①包過濾防火墻：通常安裝在路由器上，根據(jù)網(wǎng)絡管理員設定的訪問控制清單對流經(jīng)防火墻信息包的IP源地址，IP目標地址、封裝協(xié)議（如TCP/IP等）和端口號等進行篩選。②代理服務器防火墻：包過濾技術可以通過對IP地址的封鎖來禁止未經(jīng)授權者的訪問。但是它不太適合于公司用來控制內(nèi)部人員訪問外界的網(wǎng)絡。對于有這樣要求的企業(yè)，可以采用代理服務器技術來加以實現(xiàn)。③狀態(tài)監(jiān)視防火墻：通過檢測模塊對相關數(shù)據(jù)的監(jiān)測后，從中抽取部分數(shù)據(jù)，并將其動態(tài)地保存起來作為以后制定安全決策的參考。檢測模塊能支持多種協(xié)議和應用程序，并可容易地實現(xiàn)應用和服務的擴充。

（三）加密型技術

以數(shù)據(jù)加密為基礎的網(wǎng)絡安全系統(tǒng)的特征是：通過對網(wǎng)絡數(shù)據(jù)的可靠加密來保護網(wǎng)絡系統(tǒng)中（包括用戶數(shù)據(jù)在內(nèi)）的所有數(shù)據(jù)流，從而在不對網(wǎng)絡環(huán)境作任何特殊要求的前提下，從根本上解決了網(wǎng)絡安全的兩大要求（即網(wǎng)絡服務的可用性和信息的完整性）。采用加密技術網(wǎng)絡系統(tǒng)的優(yōu)點在于：不僅不需要特殊網(wǎng)絡拓撲結(jié)構(gòu)的支持，而且在數(shù)據(jù)傳輸過程中也不會對所經(jīng)過網(wǎng)絡路徑的安全程度作出要求，從而真正實現(xiàn)了網(wǎng)絡通信過程端到端的安全保障。

（四）入侵檢測技術

入侵檢測技術主要分成兩大類型：①異常入侵檢測：是指能夠根據(jù)異常行為和使用計算機資源情況檢測出來的入侵.異常入侵檢測試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的、潛在的入侵性行為。異常入侵要解決的問題就是構(gòu)造異常活動集并從中發(fā)現(xiàn)入侵性活動子集。異常入侵檢測方法依賴于異常模型的建立，不同模型構(gòu)成不同的檢測方法。異常檢測是通過觀測到的一組測量值偏離度來預測用戶行為的變化，然后作出決策判斷的檢測技術②誤用入侵檢測：是指利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵。誤用入侵檢測的主要假設是具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種.誤用入侵檢測指的是通過按預先定義好的入侵模式以及觀察到入侵發(fā)生的情況進行模式匹配來檢測.入侵模式說明了那些導致安全突破或其他誤用的事件中的特征、條件、排列和關系。一個不完整的模式可能表明存在入侵的企圖。

（五）網(wǎng)絡安全掃描技術

網(wǎng)絡安全掃描技術主要包含：①端口掃描技術：端口掃描向目標主機的Tcp/Ip服務端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉，就可以得知端口提供的服務或信息。端口掃描也可以通過捕獲本地主機或服務器的流入流出Ip數(shù)據(jù)包來監(jiān)視本地主機的運行情況，它僅能對接收到的數(shù)據(jù)進行分析，幫助我們發(fā)現(xiàn)目標主機的某些內(nèi)在的弱點，而不會提供進入一個系統(tǒng)的詳細步驟；②漏洞掃描技術：漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡服務，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。除了以上介紹的幾種網(wǎng)絡安全技術之外，還有一些被廣泛應用的安全技術，如身份驗證、存取控制、安全協(xié)議等。

（作者單位：遼河油田第二職工醫(yī)院）