淺析油田網絡安全的對策及應用

劉利軍　宋　慧　王克江

[摘要]隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。根據近年國內網絡領域新技術，結合油田內部網的實際需要及工作實踐中積累的經驗，從網絡入侵防范、網絡可靠性以及網絡行為等三個方面作闡述，對網絡信息安全提出了若干見解，通過加強網絡信息安全的研究與建設，在實際中采取切實有效的安全控制對策，對提升信息安全具有重要意義。

[關鍵詞]網絡安全 防火墻 ACL VLAN 入侵檢測 上網行為管理

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0510108－01

網絡安全是指計算機網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改和泄露，系統連續、可靠、正常運行，網絡服務不中斷。從其本質上來講就是網絡上的信息安全。凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

一、網絡入侵防范對策及應用

（一）部署網絡防火墻防止外部非法入侵。防火墻技術是目前解決非法入侵的最熱門方法。在中心機房設置防火墻，能夠對所有企圖進入內部網絡的流量進行控制。通常采用硬件防火墻或防火墻軟件（如Check-point）等，它們都能識別、記錄并阻塞非法的網絡入侵行為，從而保證網絡外部訪問的安全性，是網絡安全的第一道大門，另外，筆者認為對于用戶較多的網絡建議采用硬件防火墻。

（二）部署網絡入侵檢測系統。由于防火墻處于網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能。入侵檢測是通過旁路監聽的方式不間斷地收取網絡數據，對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，并通過各種手段向管理員發出警告。入侵檢測系統不但可以發現來自外部的攻擊，也可以發現來自于內部的惡意行為。是防火墻的必要補充和網絡安全的第二道閘門。從技術上看，入侵檢測系統可以分為三類：基于網絡的系統、基于主機的系統和二者混合的系統。

基于網絡的入侵檢測系統放置在重要的網段內，監視網段中的各種數據包，對每個數據包或可疑的數據包進行特征分析。如數據包與產品內置的某些規則吻合，入侵檢測系統就會發出警報甚至直接切斷網絡連接。目前，絕大部分入侵檢測系統是基于網絡的。

（三）限制非授權的訪問。在路由器和交換機上設置訪問控制列表（ACL），在交換機端口進行MAC地址綁定限制，可以有效地防止用戶非法的企圖。靈活的訪問控制列表（ACL）能有效過濾阻止除指定地域和人員（中心機房、管理員）以外的IP對交換機的訪問。而交換機端口MAC地址綁定限制使非法用戶根本無法上網，從接入層上杜

絕了非法用戶的接入。

二、網絡可靠性的對策及應用

（一）網絡拓撲結構冗余與容錯。要提高網絡的安全可靠性，不但要提高單臺交換機的安全可靠性，還要通過網絡拓撲結構的設計和配置冗余交換機來消除網絡上至少是主干網絡上單點故障?？梢耘鋫渲鱾溆弥鞲山粨Q機和主備用主干鏈路，通過一系列網絡技術（如熱備份路由器協議HSRP、VRRP等）和容錯技術（如FEC/GEC技術等），使兩臺交換機同時發揮作用，均衡網絡負載，在特定情況下當第一跳路由器使用失?。ɑ騃P流量轉移失?。r，仍能維護路由器間的連通性，達到網絡容錯的目的，以及實現鏈路的冗余和故障的恢復，提高服務器的物理訪問能力和穩定性，從而增強網絡的安全性。

（二）應用VLAN（虛擬局域網）及擴展技術。虛擬網技術是近年來在計算機網絡領域興起的一項新技術。虛擬網把傳統的廣播域按需要分割成各個獨立的廣播域，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著改善和提高。利用虛擬網技術上的特點可以將不同小區、不同樓宇或不同應用系統分配到不同的VLAN之中，實現不同小區、不同樓宇或不同應用系統之間的邏輯隔離。另外，由于VLAN之間的通信是通過路由器實現的，路由器使得雙方不能直接連接，而路由器的包過濾或防火墻的功能可被用來對不同VLAN間用戶的通信做逐項檢查，通信可以按照網絡管理人員的要求被允許或禁止，從而實現不同小區、不同樓宇或不同應用系統之間的訪問控制，控制網絡上的廣播風暴，抑制病毒傳播，防范黑客攻擊，增強網絡的安全性，提高網絡帶寬利用率。而VLAN擴展技術的應用又實現了樓宇接入交換機的端口隔離，進一步縮小了廣播域，提升了網絡的性能。

（三）定期進行網絡數據備份。網絡數據備份不僅僅是指網絡上各計算機的文件備份，它實際上包含了整個網絡系統的一套備份體系。一套完整的備份方案應該包括備份介質和備份軟件的選擇。備份介質目前主要使用的有硬盤、可讀CD等，隨著網絡的發展，系統日增復雜，數據量日增，硬盤是最理想的備份介質。在備份策略上可以設置備份系統，每周進行一次包括操作系統級的完全數據備份，每天進行一次數據庫的完全數據備份。

三、網絡行為安全對策及應用

（一）集中部署上網行為管理系統。網絡上充斥著大量的非法信息，合理的過濾并記錄用戶的上網行為日志無疑成了重中之重，它通過比對用戶所訪問的地址URL，進行判斷，如果不是黑名單列表中的放行，否則丟棄該數據包。并對用戶的IP和所訪問的地址對應關系做日志記錄。

（二）部署綜合網管設備日志管理系統。網絡設備在系統日志中產生大量的審計數據。對于這些系統審計日志進行管理是所有的安全管理中最基礎的工作之一。而綜合網管設備日志管理系統，通常包括系統日志進程模塊（用于接收設備發來的設備日志），系統日志配置模塊，一個或多個日志文件模塊（用于存儲所述設備日志文件），管理系統設備日志接收模塊，日志管理系統配置模塊，日志分析處理模塊（用于分析所接收的設備日志文件中的設備日志），應用進程處理模塊，數據庫存儲模塊。通過該系統建立起了與日志文件之間的管道連接，從而能夠進行多種設備日志的實時處理，并靈活切換處理方式，大大提升了處理速度。

四、結語

總之，網絡安全是一個復雜的系統工程，只有全面考慮系統的安全需求，將多種安全技術結合在一起，才能形成一個高效、通用、安全的網絡。而如何建設一個高速高效、資源豐富、應用廣泛的油田網，也同樣需要綜合考慮各方面的因素。筆者有理由相信，在當今信息網絡技術突飛猛進的時代，今后還會有更多新的網絡安全方面的問題出現，對于出現的問題，期待著與大家共同研究和探討。

參考文獻：

[1]陳彥峰、張長春，電腦黑客攻防完全謀略[M].北京：航空工業出版社，2003:313-332.

[2]周國民，入侵檢測產品市場掃描[J].網絡安全技術與應用，2004,5:64-67.

[3]仲治國、白海風、陳會安，網管員實戰寶典[M].重慶：齊魯電子音像出版社，2006:242-310.

[4]劉敏、王曉靜、張威，中國鐵通網絡安全問題及處理手段[J].信息網絡安全，2006,2:29-31.