張紹東

伴隨中國(guó)石油全面建設(shè)綜合性能源公司戰(zhàn)略的不斷推進(jìn)，信息網(wǎng)絡(luò)技術(shù)日益成為油田企業(yè)生存發(fā)展的技術(shù)保障。根據(jù)本人在油田企業(yè)信息管理工作中的多年實(shí)踐，對(duì)于企業(yè)網(wǎng)絡(luò)信息安全的方案進(jìn)行系統(tǒng)研究，從而為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞，為油田生產(chǎn)提供有力的信息技術(shù)支撐。

信息網(wǎng)絡(luò)；安全防護(hù)；安全策略；安全管理

網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來(lái)了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。如今，Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們?cè)絹?lái)越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點(diǎn)。

1.風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè)，對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無(wú)論哪個(gè)層面上的安全措施不到位，都會(huì)存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。

2.安全技術(shù)策略

采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有---防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。網(wǎng)絡(luò)加密技術(shù)(Ipsec)：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來(lái)攻擊的能力。

實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。建立分層管理和各級(jí)安全管理中心。

3.防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng)、入侵檢測(cè)技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。

物理安全。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施：產(chǎn)品保障、運(yùn)行安全、防電磁輻射、保安防護(hù)。

防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。

VPN技術(shù)。VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

VPN有三種解決方案：如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）。如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互連，使用企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)是很好的方式。如果提供B2B之間的安全訪問服務(wù)，則可以考慮Extranet VPN。

網(wǎng)絡(luò)加密技術(shù)。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此，IP安全是整個(gè)TCP/IP安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。I主要包括對(duì)稱加密技術(shù)、非對(duì)稱加密/公開密鑰加密、RSA算法、身份認(rèn)證、密鑰備份和恢復(fù)、證書管理與撤消系統(tǒng)，以及多層次多級(jí)別的防病毒系統(tǒng)和入侵檢測(cè)、虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng)(Virtual Private Network，VPN)。

4.網(wǎng)絡(luò)安全服務(wù)

網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。針對(duì)以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。

通信伙伴認(rèn)證。通信伙伴認(rèn)證服務(wù)的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認(rèn)證一般在通信之前進(jìn)行。但在必要的時(shí)候也可以在通信過程中隨時(shí)進(jìn)行。認(rèn)證有兩種形式，一種是檢查一方標(biāo)識(shí)的單方認(rèn)證，一種是通信雙方相互檢查對(duì)方標(biāo)識(shí)的相互認(rèn)證，通信伙伴認(rèn)證服務(wù)可以通過加密機(jī)制，數(shù)字簽名機(jī)制以及認(rèn)證機(jī)制實(shí)現(xiàn)。

訪問控制。訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識(shí)，口令，根據(jù)授予的權(quán)限限制其對(duì)資源的利用范圍和程度。例如是否有權(quán)利用主機(jī)CPU運(yùn)行程序，是否有權(quán)對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢和修改等等。訪問控制服務(wù)通過訪問控制機(jī)制實(shí)現(xiàn)。

數(shù)據(jù)保密。數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無(wú)權(quán)者閱讀。數(shù)據(jù)保密既包括存儲(chǔ)中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對(duì)特定文件，通信鏈路，甚至文件中指定的字段進(jìn)行。數(shù)據(jù)保密服務(wù)可以通過加密機(jī)制和路由控制機(jī)制實(shí)現(xiàn)。

業(yè)務(wù)流分析保護(hù)。業(yè)務(wù)流分析保護(hù)服務(wù)的作用是防止通過分析業(yè)務(wù)流，來(lái)獲取業(yè)務(wù)量特征，信息長(zhǎng)度以及信息源和目的地等信息。

業(yè)務(wù)流分析保護(hù)服務(wù)可以通過加密機(jī)制，偽裝業(yè)務(wù)流機(jī)制，路由控制機(jī)制實(shí)現(xiàn)。數(shù)據(jù)完整性保護(hù)。數(shù)據(jù)完整性保護(hù)服務(wù)的作用是保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時(shí)該服務(wù)也可以包含一定的恢復(fù)功能。

數(shù)據(jù)完整性保護(hù)服務(wù)可以通過加密機(jī)制，數(shù)字簽名機(jī)制以及數(shù)據(jù)完整性機(jī)制實(shí)現(xiàn)。

簽字。簽字服務(wù)通過數(shù)字簽名機(jī)制及公證機(jī)制實(shí)現(xiàn)，作用在于避免通信雙方對(duì)信息的來(lái)源發(fā)生爭(zhēng)議。

[1]辜川毅.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).北京：機(jī)械工業(yè)出版社,2004

[2]孔憲君,呂 濱.計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)原理與應(yīng)用.北京:機(jī)械工業(yè)出版社,2003