對油田局域網面臨的攻擊及防護措施

唐明

摘要：現代信息安全技術是以密碼技術、病毒技術、數據恢復技術、操作系統維護技術、數據庫技術以及網絡技術等所組成的系統技術。而由于油田企業系統對相關技術的認識和技術管理人才培養的局限性，導致在計算機信息應用過程中難免會出現一些漏洞、缺陷。

關鍵詞：油田局域網;網絡安全;網絡攻擊;防護措施

一、油田企業網信息安全風險

（一）油田企業網信息安全技術不足。現代信息安全技術是以密碼技術、病毒技術、數據恢復技術、操作系統維護技術、數據庫技術以及網絡技術等所組成的系統技術。而由于油田企業系統對相關技術的認識和技術管理人才培養的局限性，導致在計算機信息應用過程中難免會出現一些漏洞、缺陷。

（二）油田企業干部職工缺乏安全管理的責任心和防范意識。目前，油田企業信息安全事件最突出的便是信息泄密，雖然技術監管、安全標準等方面不斷完善，但由于油田企業信息化管理是一個不斷發展的動態過程，油田企業網絡安全軟硬件技術，使用人員、管理人員的保密意識以及對失泄密的防范措施等都會影響到油田企業網絡信息的安全。

二、油田企業網面臨的主要攻擊

當前油田企業網面臨的攻擊是多樣與復雜的，主要有ARP攻擊、DoS攻擊、口令攻擊、網絡監聽、特洛伊木馬及遠程攻擊，這些攻擊對網絡的安全構成了極大的威脅，成為潛伏在油田企業網四周的定時炸彈，讓人防不勝防。

（一）ARP 攻擊。ARP是地址解析協議的英文縮寫，位于IP層的最底層，沒有了ARP的輔助，IP也就無法正常運行，只有通過ARP才能實現IP地址與硬件地址的自由切換。ARP本身比較脆弱，很容易遭受惡意攻擊，一旦被惡意攻擊就會對整個局域網產生嚴重的危害。ARP攻擊最常用的就是ARP欺騙，攻擊方式主要是向既定的目標主機發送應答報文，這里面攜帶著偽造的IP地址和相關的硬件地址，既定的目標主機會自動刷新原有的信息報文并儲存偽造的應答報文信息，從而實現對計算機系統的網絡攻擊。

（二）DoS 攻擊。DoS（拒絕服務）攻擊不是以獲得網絡或者網絡上的信息訪問權為目的，而是使用超出被攻擊目標處理能力的大量數據包消耗系統可用存儲、帶寬資源，最后致使網絡服務癱瘓的一種攻擊手段。DoS攻擊的過程如下：首先攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息。由于地址是偽造的，所以服務器一直等不到回傳的信息，然而服務器中分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被中斷，攻擊者會再次傳送新的一批請求，在這種反復發送偽造地址請求的情況下，服務器資源最終會被耗盡。

（三）口令攻擊。口令攻擊，一般通過“finger遠端主機名稱”輕松找到機主存留在計算機上的登錄賬號，然后通過利用大規模的字典窮舉法對其進行密碼破譯，通過進入機主登錄界面并設法獲取機密信息。

（四）網絡嗅探。若是黑客登錄油田企業網主機并取得超級用戶權限，就可以登錄其它主機，使用網絡監聽便可以有效地截獲網絡上的數據。實現網絡監聽的工具很多，現在被廣泛使用的監聽工具是Sniffer，它可以截獲口令，可以截獲到本來是秘密的或者專用信道內的信息，也可截獲到信用卡號、經濟數據、電子郵件等等，更可以用來攻擊與己相鄰的網絡，它是個非常危險的東西。

（五）木馬病毒。在網絡中，一般故意偽裝成一個實用性的工具或者資料包，或者是一個外表比較可愛充滿趣味性的網絡游戲，吸引用戶自行安裝在自己的電腦上，然后獲取用戶的相關信息，其性質和冒充IP地址相似，都是在偽裝的外表下實施網絡攻擊與犯罪。

三、實現油田企業網安全的防御措施

油田企業網面臨上述危險，就必須從各個方面做好油田企業網的安全防御，對每一個既定的環節采取有效的防護措施，對容易出現危機的部位加強防御，營造一個良好的專網環境。我們可以采取以下方式防御、抵抗各種網絡攻擊行為。

（一）增強網絡安全意識，提高網絡安全防范能力。增強網絡安全意識是基礎性的防護措施，有了較強的安全意識才會樹立一定的防御觀念，才能保證油田企業網的網絡安全。網絡安全意識的加強主要針對信息安全管理者和用戶個人，二者攜手并進才能做好網絡安全環境的構建。

（1）網絡管理員應該具備安全意識。加強服務器口令的安全，設置必要的安全賬號和有效密碼，這是服務器口令管理的基礎性工作，也是增強安全保護意識的首要體現。設置必要的鎖屏功能，通過設置鎖屏可以有效減少信息被任意盜取的幾率，相當于為計算機增設了一層保護。對于重要的數據資源要學會備份，并且對十分重要的文件要加密處理，防止他人盜取。在資料傳輸后妥善處理優盤，必要的時候進行殺毒或者是電腦安全監測，確保整個網絡的安全。

（2）油田企業網使用中也應該增強網絡安全意識。網絡安全不僅是管理員要做的事情，作為使用者個人我們也有必要提高一下自己的網絡安全意識。即使網絡使用只局限于工作或者是學習。給自己的網絡或者是計算機系統設置一定的安全賬號和密碼，不要輕易與他人共享自己的隱秘信息，感興趣的軟件或者是視頻資料建議去一些官網下載，下載正規的軟件系統，不給木馬、病毒攻擊的機會。

（3）加強培訓與宣傳。提高管理層和廣大干部職工的信息安全意識，是信息安全管理工作的基礎。利用定期培訓、宣傳板報、郵件等方式定期反復對油田企業網用戶進行信息安全培訓和宣傳，能有效提高油田企業網絡信息安全管理水平。

（二）強化訪問控制。

（1）密碼策略。高強度的密碼需要幾年時間來破解，而脆弱的密碼在一分鐘內就可以被破解。提高油田企業網用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能造成的危害，油田企業網絡必須制定密碼策略并利用技術手段保證執行。

（2）用戶權限管理。油田企業網絡的用戶從進入一個崗位到離開這個崗位是一個完整的生命周期，要便捷有效地在這個生命周期中對用戶的權限進行管理，需要油田企業網絡具有完善的身份管理平臺，從而實現授權流程的自動化，并實現網內應用的單點登錄。

（3）公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊，VPN接入、文件加密系統等均可以通過公鑰系統提升安全水平，因此油田企業網絡應當部署PKI/CA系統。

（4）做好防火墻的安全防御。防火墻是目前使用比較廣泛的網絡安全保護措施，主要針對自己的安全局域網展開保護，對于那些惡意攻擊的信息或者是計算機病毒通過防火墻安全監測，將非法信息阻擋在防火墻之外。防火墻是一款安全性比較高的計算機安全防御系統，如果想實現網絡的安全防御最好安裝防火墻。

（三）落實監控與審計。

（1）病毒掃描與補丁管理。油田企業網需要統一的防病毒系統和終端管理系統，在終端定期更新病毒定義，進行病毒自動掃描，自動更新操作系統補丁，以減少桌面終端的安全風險。

（2）惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成：防病毒系統、內容過濾網關、郵件過濾網關、惡意網頁過濾網關和入侵檢測軟件。

（3）網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充，主要用于監控網絡傳輸，在檢測到可疑傳輸行為時報警。作為油田企業信息安全架構的必備設備，入侵檢測系統能有效防控外部的惡意攻擊行為。

參考文獻：

[1] 張雨涵;局域網存在的安全風險與防范措施分析[J];硅谷;2014年第04期

[2] 王雄;孫曉東;吳維橋;信息內網面臨的安全威脅及防護措施[J];青海電力;2013年第02期

（作者單位：中國石化中原油田信息化管理中心）