淺議企業網絡安全系統工程存在的問題及對策

向虹

摘 要：隨著網絡技術的普及和發展，網絡上承載的應用越來越多，豐富的網絡信息資源給人們帶來了極大的方便，但同時，也給上網用戶帶來了安全問題，系統被侵犯、信息泄漏、信譽受損，以及災難性事件的數量呈增加趨勢。目前，石化集團正大力推進各下屬企業的信息化建設，要求有一個強有力的網絡安全體系來保證這些從分散到集中的數據、信息資源的安全和穩定。

關鍵詞：企業；網絡；安全；系統

本文以油田網絡安全系統為例，淺議油田企業網絡安全系統完善工程的途徑。

一、網絡安全系統完善工程的意義

目前，石化集團為建立現代企業制度，提高企業競爭力，正大力推進各下屬企業的信息化建設，如ERP系統、生產管理調度系統、八大數據庫系統等，所有這些系統的建設，都要求有一個強有力的網絡安全體系來保證這些從分散到集中的數據、信息資源的安全和穩定。

油田經過多年的建設，已經形成完善整體結構為通過光纖連接的多級網絡，隨著油田網絡應用的不斷增加，聯入企業網絡的單位和用戶也越來越多，信息系統面臨被攻擊和侵犯的風險也越來越大。特別是ERP系統的上線運行，對網絡安全系統的需求就更加迫切。

根據《油田信息系統的安全策略》要求，建立油田信息網高強度的身份認證和授權體系，加強桌面安全管理體系的建設，提升主干網安全防范能力，保證關鍵應用的安全，不僅是油田的一項重要任務，也是整個石化信息網絡安全體系的重要組成部分。

二、網絡安全系統存在的問題

目前的信息安全建設只解決了風險較大的因特網出口的安全問題，離建立完整的信息系統安全體系距離很大，尚存在許多薄弱環節和信息安全“隱患”，目前主要表現在：

一是信息安全管理機制尚存在缺陷，特別是系統運行安全制度還不健全、標準規范尚未建立，難以適應業務連續性的要求；二是主干網上還未采取有效的安全防護措施，造成各單位病毒相互傳播，使得主干網正常的信息傳輸出現阻塞；三是缺乏有效的身份認證與授權體系，在用戶身份識別和信息資源訪問控制上存在隱患，使應用系統的安全防護力度不夠；四是桌面管理存在較大隱患，“病從桌入、病從網入”仍然是系統防病毒和其他信息安全工作的重點；病毒防范仍是最薄弱環節。五是應用信息系統沒有建立相應的安全防護體系，不能保證重要應用系統的安全、可靠地運行；在重要的系統中，沒有建立足夠的認證審計機制，安全性較差，非法用戶容易破解，存在重要業務數據被毀損或篡改的可能性。

三、確保網絡安全系統工程的對策

目前，油田信息網絡安全建設主要包括以幾個方面：1.網絡入侵檢測系統；2.網絡性能監控及故障分析系統。

一是網絡入侵檢測系統。在現有的網絡安全防護體系中，信息網絡面臨的安全問題僅依靠單一的安全產品很難全面解決，而且傳統的防火墻自身也存在一些不足之處。如果操作系統自身存在安全漏洞也有可能帶來較大的安全風險。而IDS產品以其強大的入侵檢測能力，完全彌補了防火墻的不足。入侵檢測系統提供的和防火墻互動的功能，則可以從原來的靜態防護變為動態防護，與其它安全產品綜合部署則可以形成一個立體的防護體系。一旦發現可疑的行為，及時做出適當的響應，以保證將系統調整到“最安全”和“風險最低”的狀態。這種動態的保護機制就是入侵檢測系統。

入侵檢測系統應具備以下特征：在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。

入侵檢測系統是為保證計算機系統的安全而配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，它可以及時發現惡意入侵者或識別出對計算機的非法訪問行為，并對其進行隔離。入侵檢測系統能發現其他安全措施無法發現的攻擊行為，并能收集可以用來訴訟的犯罪證據。

二是網絡性能監控及故障分析系統。在以太網中，所有的通訊都是廣播的，也就是說通常在同一個網段的網絡接口都可以訪問在物理介質上傳輸的所有數據，而每一個網絡接口都有一個唯一的硬件地址，這個硬件地址也就是網卡的MAC地址，在硬件地址和IP地址間使用ARP和RARP協議進行相互轉換。

性能監控和故障分析就是利用計算機的網絡接口截獲目的地址為其他計算機的數據報文的一種技術。該技術被廣泛應用于網絡維護和管理方面，它自動接收著來自網絡的各種信息，通過對這些數據的分析，網絡管理員可以了解網絡當前的運行狀況，以便找出所關心的網絡中潛在的問題。

對于油田的信息網絡面言，信息中心站在全局角度，對網絡整體性能比較關注，可以在信息中心主控服務器上安裝NAI

Sniffer網絡協議分析儀，用于對全局的網絡流量和狀態進行監控，分析出網絡效能問題。但NAI Sniffer是軟件產品，安裝使用相對復雜，而且移動不方便。可以備用一臺便攜式網絡分析儀

FLUKE OPV-WGA/GIG （分布式網絡綜合協議分析儀兆型） ，由信息中心管理，二級單位網絡出現故障時借用。