企業信息網絡的風險控制及防范

摘 要：根據本人在油田企業信息管理工作中的實踐，描述和分析網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。

關鍵詞：信息網絡；安全防護；安全策略；安全管理

隨著網絡的延伸，安全問題受到人們越來越多的關注。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全，成為了本文探討的重點。

一、風險分析

風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。

網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全，而是整個信息網的安全，需要從物理、網絡、系統、應用和管理方面進行立體的防護。網絡安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況，應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。

二、安全技術策略

1.采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統盡量在最優的狀況下運行。

2.采用各種安全技術，構筑防御系統，主要有： （1） 防火墻技術：在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。 （2） NAT技術：隱藏內部網絡信息。 （3） VPN：虛擬專用網（VPN）是企業網在因特網等公共網絡上的延伸，通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用，而事實上并非如此。 （4） 網絡加密技術（Ipsec） ：采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。（5） 認證：提供基于身份的認證，并在各種認證機制中可選擇使用。 （6） 多層次多級別的企業級的防病毒系統：采用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。（7） 網絡的實時監測：采用入侵檢測系統，對主機和網絡進行監測和預警，進一步提高網絡防御外來攻擊的能力。

3.實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。

4.建立分層管理和各級安全管理中心。

三、防御系統

我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網絡安全的防御系統。

1.物理安全。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

為保證信息網絡系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。為保證網絡的正常運行，在物理安全方面應采取如下措施：產品保障、運行安全、防電磁輻射、保安防護。

2.防火墻技術。防火墻是一種網絡安全保障手段，是網絡通信時執行的一種訪問控制尺度，其主要目標就是通過控制入、出一個網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭外界因素的干擾和破壞。

3.VPN技術。VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現，可以保證企業員工安全地訪問公司網絡。

VPN有三種解決方案： （1）如果企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用遠程訪問虛擬網（Access VPN）。（2）如果要進行企業內部各分支機構的互連，使用企業內部虛擬網（Intranet VPN）是很好的方式。（3）如果提供B2B之間的安全訪問服務，則可以考慮Extranet VPN。

4.網絡加密技術。IP層是TCP/IP網絡中最關鍵的一層，IP作為網絡層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網絡安全的核心。I主要包括對稱加密技術、非對稱加密/公開密鑰加密、RSA算法、身份認證、密鑰備份和恢復、證書管理與撤消系統，以及多層次多級別的防病毒系統和入侵檢測、虛擬專用網技術虛擬專用網（Virtual Private Network，VPN）

四、網絡安全服務

網絡是個動態的系統，它的變化包括網絡設備的調整，網絡配置的變化，各種操作系統、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網絡結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。針對以上問題和網管人員的不足，下面介紹一系列比較重要的網絡服務。

1.通信伙伴認證。通信伙伴認證服務的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證，通信伙伴認證服務可以通過加密機制，數字簽名機制以及認證機制實現。

2.訪問控制。訪問控制服務的作用是保證只有被授權的用戶才能訪問網絡和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據授予的權限限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序，是否有權對數據庫進行查詢和修改等等。訪問控制服務通過訪問控制機制實現。

3.數據保密。數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據，也包括傳輸中的數據。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進行。 數據保密服務可以通過加密機制和路由控制機制實現。

4.業務流分析保護。業務流分析保護服務的作用是防止通過分析業務流，來獲取業務量特征，信息長度以及信息源和目的地等信息。業務流分析保護服務可以通過加密機制，偽裝業務流機制，路由控制機制實現。

5.數據完整性保護。數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。數據完整性保護服務可以通過加密機制，數字簽名機制以及數據完整性機制實現

6.簽字。簽字服務通過數字簽名機制及公證機制實現，作用在于避免通信雙方對信息的來源發生爭議。