淺談油田企業網面臨的攻擊及防范措施

馮繼盛

【摘 要】信息技術的快速發展，尤其是隨著數據集中程度越來越高，存儲和運行數據安全成為我們必須面對的問題。網絡攻擊有可能使我們的整個工作陷入癱瘓，有可能造成信息泄露，有可能給油田工作帶來損失。

【關鍵詞】油田企業網;網絡安全;網絡攻擊;防范措施

信息技術的快速發展，尤其是隨著數據集中程度越來越高，存儲和運行數據安全成為我們必須面對的問題。網絡攻擊有可能使我們的整個工作陷入癱瘓，有可能造成信息泄露，有可能給油田工作帶來損失。因此，熟悉油田企業網目前面臨的安全風險和主要攻擊，并掌握一些基本的防御與應對措施，對于每個員工來說都是十分必要的。

一、油田企業網信息安全風險

（1）油田企業網信息安全技術不足。現代信息安全技術是以密碼技術、病毒技術、數據恢復技術、操作系統維護技術、數據庫技術以及網絡技術等所組成的系統技術。而由于油田系統對相關技術的認識和技術管理人才培養的局限性，導致在計算機信息應用過程中難免會出現一些漏洞、缺陷。

（2）安全事件最突出的便是信息泄密，雖然技術監管、安全標準等方面不斷完善，但由于油田信息化管理是一個不斷發展的動態過程，油田企業網絡安全軟硬件技術，使用人員、管理人員的保密意識以及對失泄密的防范措施等都會影響到油田企業網絡信息的安全。

其中，企業員工的無意泄密、故意泄密以及離職后信息資源的自我利用，是影響信息安全的主要因素。可以說，內部的信息安全風險遠遠大于外部風險。然而，針對內部信息安全問題，一個全面、系統、有效的保障體系還有待進一步完善，尤其是在企業員工責任心建設以及信息安全防范意識建設方面，一直是油田信息網絡安全體系建設的弱點所在。

二、油田企業網面臨的主要攻擊

（1）ARP攻擊。ARP是地址解析協議的英文縮寫，位于IP層的最底層，沒有了ARP的輔助，IP也就無法正常運行，只有通過ARP才能實現IP地址與硬件地址的自由切換。ARP本身比較脆弱，很容易遭受惡意攻擊，一旦被惡意攻擊就會對整個局域網產生嚴重的危害。ARP攻擊最常用的就是ARP欺騙，攻擊方式主要是向既定的目標主機發送應答報文，這里面攜帶著偽造的IP地址和相關的硬件地址，既定的目標主機會自動刷新原有的信息報文并儲存偽造的應答報文信息，從而實現對計算機系統的網絡攻擊。

（2）DoS攻擊。DoS（拒絕服務）攻擊不是以獲得網絡或者網絡上的信息訪問權為目的，而是使用超出被攻擊目標處理能力的大量數據包消耗系統可用存儲、帶寬資源，最后致使網絡服務癱瘓的一種攻擊手段。DoS攻擊的過程如下：首先攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息。由于地址是偽造的，所以服務器一直等不到回傳的信息，然而服務器中分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被中斷，攻擊者會再次傳送新的一批請求，在這種反復發送偽造地址請求的情況下，服務器資源最終會被耗盡。

（3）口令攻擊。口令攻擊，一般通過“finger遠端主機名稱”輕松找到機主存留在計算機上的登錄賬號，然后通過利用大規模的字典窮舉法對其進行密碼破譯，通過進入機主登錄界面并設法獲取機密信息。

（4）網絡監聽。網絡監聽，又稱為網絡嗅探。網絡監聽可以說是網絡安全領域的一個敏感話題，網絡監聽就像一把雙刃劍，一方面它為網絡管理員提供了一種管理網絡的手段，監聽在協助網絡管理員監測網絡傳輸數據、排除網絡故障等方面有著不可替代的作用;另一方面，網絡監聽是黑客取得網絡上傳輸的重要信息的一種重要手段。

（5）特洛伊木馬。特洛伊木馬，也就是我們常說的木馬病毒。在網絡中，一般故意偽裝成一個實用性的工具或者資料包，或者是一個外表比較可愛充滿趣味性的網絡游戲，吸引用戶自行安裝在自己的電腦上，然后獲取用戶的相關信息，其性質和冒充IP地址相似，都是在偽裝的外表下實施網絡攻擊與犯罪。

（6）遠程攻擊。遠程攻擊與我們常見的遠程協助工作原理一樣，主要是針對于攻擊者以外的計算機，不受時間與距離的限制。

三、實現油田企業網安全的防范措施

（一）增強網絡安全意識，提高網絡安全防范能力

一是提高基礎性的防護措施。增強網絡安全意識是基礎性的防護措施，有了較強的安全意識才會樹立一定的防御觀念，才能保證油田企業網的網絡安全。網絡安全意識的加強主要針對信息安全管理者和用戶個人，二者攜手并進才能做好網絡安全環境的構建。

二是網絡管理員應該具備安全意識。加強服務器口令的安全，設置必要的安全賬號和有效密碼，這是服務器口令管理的基礎性工作，也是增強安全保護意識的首要體現。設置必要的鎖屏功能，通過設置鎖屏可以有效減少信息被任意盜取的幾率，相當于為計算機增設了一層保護。

三是油田企業網使用中也應該增強網絡安全意識。網絡安全不僅是管理員要做的事情，作為使用者個人我們也有必要提高一下自己的網絡安全意識。即使網絡使用只局限于工作或者是學習。給自己的網絡或者是計算機系統設置一定的安全賬號和密碼，不要輕易與他人共享自己的隱秘信息。

四是加強培訓與宣傳。提高管理層和廣大員工的信息安全意識，是信息安全管理工作的基礎。了解信息安全的必要性，管理層才會支持信息安全管理建設，用戶才會配合信息管理部門工作。利用定期培訓、郵件等方式定期反復對油田企業網用戶進行信息安全培訓和宣傳，能有效提高油田企業網絡信息安全管理水平。

（二）強化訪問控制

一是密碼策略和用戶權限管理。密碼策略，高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內就可以被破解。提高油田企業網用戶的密碼強度是訪問控制的必要手段。用戶權限管理。油田企業網絡的用戶從進入一個崗位到離開這個崗位是一個完整的生命周期，要便捷有效地在這個生命周期中對用戶的權限進行管理，需要油田企業網絡具有完善的身份管理平臺，從而實現授權流程的自動化，并實現網內應用的單點登錄。

二是公鑰系統和做好防火墻的安全防御。首先公鑰系統是訪問控制乃至信息安全架構的核心模塊，VPN接入、文件加密系統等均可以通過公鑰系統提升安全水平，因此油田企業網絡應當部署PKI/CA系統。

其次，做好防火墻的安全防御。防火墻是目前使用比較廣泛的網絡安全保護措施，主要針對自己的安全局域網展開保護，對于那些惡意攻擊的信息或者是計算機病毒通過防火墻安全監測，將非法信息阻擋在防火墻之外。對外來信息或者是流量采取定期的分析、監測與有效過濾，可以說防火墻就是為自身的網絡罩起的一張保護網。

通用的防火墻主要由規則號、網絡域及動作域三部分組成，規則號的存在保證了數據包次序上的有效匹配，網絡域將欺騙性的IP或者惡意病毒信息進行過濾阻擋。動作域則對那些安全的信息頒發通過許可證。防火墻是一款安全性比較高的計算機安全防御系統，如果想實現網絡的安全防御最好安裝防火墻。

（三）落實監控與審計

一是病毒掃描與補丁管理和惡意軟件防控。油田企業網需要統一的防病毒系統和終端管理系統，在終端定期更新病毒定義，進行病毒自動掃描，自動更新操作系統補丁，以減少桌面終端的安全風險。惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成：防病毒系統、內容過濾網關、郵件過濾網關、惡意網頁過濾網關和入侵檢測軟件。

二是網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充，主要用于監控網絡傳輸，在檢測到可疑傳輸行為時報警。作為油田信息安全架構的必備設備，入侵檢測系統能有效防控外部的惡意攻擊行為。

三是做好重要材料的備份。針對無處不在的網絡攻擊，最重要的就是做好重要數據的備份，一旦被盜或者丟失還有備份。傳統的資料儲存方式相對于計算機來說更安全，盡管在便捷性上稍微遜色。重要資料雙重備份可以保證萬無一失。

【參考文獻】

[1]劉利軍;宋慧;王克江;淺析油田網絡安全的對策及應用[J];硅谷;2009年 第09期

[2]云曉龍;淺析油田局域網安全防護的有效性[J];中國信息化·學術版; 2013年07期

[3] 張宇;企業網防火墻的設計與實現[J];中小企業管理與科技;2007年第11期