淺議企業(yè)網(wǎng)絡安全系統(tǒng)工程存在的問題及對策

向虹

摘 要：隨著網(wǎng)絡技術(shù)的普及和發(fā)展，網(wǎng)絡上承載的應用越來越多，豐富的網(wǎng)絡信息資源給人們帶來了極大的方便，但同時，也給上網(wǎng)用戶帶來了安全問題，系統(tǒng)被侵犯、信息泄漏、信譽受損，以及災難性事件的數(shù)量呈增加趨勢。目前，石化集團正大力推進各下屬企業(yè)的信息化建設(shè)，要求有一個強有力的網(wǎng)絡安全體系來保證這些從分散到集中的數(shù)據(jù)、信息資源的安全和穩(wěn)定。

關(guān)鍵詞：企業(yè)；網(wǎng)絡；安全；系統(tǒng)

本文以油田網(wǎng)絡安全系統(tǒng)為例，淺議油田企業(yè)網(wǎng)絡安全系統(tǒng)完善工程的途徑。

一、網(wǎng)絡安全系統(tǒng)完善工程的意義

目前，石化集團為建立現(xiàn)代企業(yè)制度，提高企業(yè)競爭力，正大力推進各下屬企業(yè)的信息化建設(shè)，如ERP系統(tǒng)、生產(chǎn)管理調(diào)度系統(tǒng)、八大數(shù)據(jù)庫系統(tǒng)等，所有這些系統(tǒng)的建設(shè)，都要求有一個強有力的網(wǎng)絡安全體系來保證這些從分散到集中的數(shù)據(jù)、信息資源的安全和穩(wěn)定。

油田經(jīng)過多年的建設(shè)，已經(jīng)形成完善整體結(jié)構(gòu)為通過光纖連接的多級網(wǎng)絡，隨著油田網(wǎng)絡應用的不斷增加，聯(lián)入企業(yè)網(wǎng)絡的單位和用戶也越來越多，信息系統(tǒng)面臨被攻擊和侵犯的風險也越來越大。特別是ERP系統(tǒng)的上線運行，對網(wǎng)絡安全系統(tǒng)的需求就更加迫切。

根據(jù)《油田信息系統(tǒng)的安全策略》要求，建立油田信息網(wǎng)高強度的身份認證和授權(quán)體系，加強桌面安全管理體系的建設(shè)，提升主干網(wǎng)安全防范能力，保證關(guān)鍵應用的安全，不僅是油田的一項重要任務，也是整個石化信息網(wǎng)絡安全體系的重要組成部分。

二、網(wǎng)絡安全系統(tǒng)存在的問題

目前的信息安全建設(shè)只解決了風險較大的因特網(wǎng)出口的安全問題，離建立完整的信息系統(tǒng)安全體系距離很大，尚存在許多薄弱環(huán)節(jié)和信息安全“隱患”，目前主要表現(xiàn)在：

一是信息安全管理機制尚存在缺陷，特別是系統(tǒng)運行安全制度還不健全、標準規(guī)范尚未建立，難以適應業(yè)務連續(xù)性的要求；二是主干網(wǎng)上還未采取有效的安全防護措施，造成各單位病毒相互傳播，使得主干網(wǎng)正常的信息傳輸出現(xiàn)阻塞；三是缺乏有效的身份認證與授權(quán)體系，在用戶身份識別和信息資源訪問控制上存在隱患，使應用系統(tǒng)的安全防護力度不夠；四是桌面管理存在較大隱患，“病從桌入、病從網(wǎng)入”仍然是系統(tǒng)防病毒和其他信息安全工作的重點；病毒防范仍是最薄弱環(huán)節(jié)。五是應用信息系統(tǒng)沒有建立相應的安全防護體系，不能保證重要應用系統(tǒng)的安全、可靠地運行；在重要的系統(tǒng)中，沒有建立足夠的認證審計機制，安全性較差，非法用戶容易破解，存在重要業(yè)務數(shù)據(jù)被毀損或篡改的可能性。

三、確保網(wǎng)絡安全系統(tǒng)工程的對策

目前，油田信息網(wǎng)絡安全建設(shè)主要包括以幾個方面：1.網(wǎng)絡入侵檢測系統(tǒng)；2.網(wǎng)絡性能監(jiān)控及故障分析系統(tǒng)。

一是網(wǎng)絡入侵檢測系統(tǒng)。在現(xiàn)有的網(wǎng)絡安全防護體系中，信息網(wǎng)絡面臨的安全問題僅依靠單一的安全產(chǎn)品很難全面解決，而且傳統(tǒng)的防火墻自身也存在一些不足之處。如果操作系統(tǒng)自身存在安全漏洞也有可能帶來較大的安全風險。而IDS產(chǎn)品以其強大的入侵檢測能力，完全彌補了防火墻的不足。入侵檢測系統(tǒng)提供的和防火墻互動的功能，則可以從原來的靜態(tài)防護變?yōu)閯討B(tài)防護，與其它安全產(chǎn)品綜合部署則可以形成一個立體的防護體系。一旦發(fā)現(xiàn)可疑的行為，及時做出適當?shù)捻憫员ＷC將系統(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。這種動態(tài)的保護機制就是入侵檢測系統(tǒng)。

入侵檢測系統(tǒng)應具備以下特征：在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，以增強系統(tǒng)的防范能力。

入侵檢測系統(tǒng)是為保證計算機系統(tǒng)的安全而配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，它可以及時發(fā)現(xiàn)惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離。入侵檢測系統(tǒng)能發(fā)現(xiàn)其他安全措施無法發(fā)現(xiàn)的攻擊行為，并能收集可以用來訴訟的犯罪證據(jù)。

二是網(wǎng)絡性能監(jiān)控及故障分析系統(tǒng)。在以太網(wǎng)中，所有的通訊都是廣播的，也就是說通常在同一個網(wǎng)段的網(wǎng)絡接口都可以訪問在物理介質(zhì)上傳輸?shù)乃袛?shù)據(jù)，而每一個網(wǎng)絡接口都有一個唯一的硬件地址，這個硬件地址也就是網(wǎng)卡的MAC地址，在硬件地址和IP地址間使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換。

性能監(jiān)控和故障分析就是利用計算機的網(wǎng)絡接口截獲目的地址為其他計算機的數(shù)據(jù)報文的一種技術(shù)。該技術(shù)被廣泛應用于網(wǎng)絡維護和管理方面，它自動接收著來自網(wǎng)絡的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡管理員可以了解網(wǎng)絡當前的運行狀況，以便找出所關(guān)心的網(wǎng)絡中潛在的問題。

對于油田的信息網(wǎng)絡面言，信息中心站在全局角度，對網(wǎng)絡整體性能比較關(guān)注，可以在信息中心主控服務器上安裝NAI

Sniffer網(wǎng)絡協(xié)議分析儀，用于對全局的網(wǎng)絡流量和狀態(tài)進行監(jiān)控，分析出網(wǎng)絡效能問題。但NAI Sniffer是軟件產(chǎn)品，安裝使用相對復雜，而且移動不方便。可以備用一臺便攜式網(wǎng)絡分析儀

FLUKE OPV-WGA/GIG （分布式網(wǎng)絡綜合協(xié)議分析儀兆型） ，由信息中心管理，二級單位網(wǎng)絡出現(xiàn)故障時借用。