馮興川

[摘 要] 隨著中石油對信息化技術(shù)的重視及不斷投入，各個(gè)地區(qū)分公司的信息化水平得到了飛速發(fā)展。以吉林石化為例，每個(gè)生產(chǎn)廠均組建了自己的局域網(wǎng)，它將各個(gè)車間（部門）連接起來，實(shí)現(xiàn)了文件管理、打印機(jī)共享、電子郵件和即時(shí)通通信服務(wù)等功能。各個(gè)生產(chǎn)廠的局域網(wǎng)絡(luò)又與石化公司機(jī)關(guān)網(wǎng)絡(luò)互聯(lián)，更是方便了兩者之間的交流溝通和資源共享，提高了工作效率，降低了辦公成本。其次中石油投資建設(shè)的專業(yè)信息系統(tǒng)，如MES系統(tǒng)、ERP系統(tǒng)、網(wǎng)上報(bào)銷系統(tǒng)、薪酬管理系統(tǒng)等系統(tǒng)的數(shù)據(jù)采集、上傳也依賴于局域網(wǎng)。因此，局域網(wǎng)的安全平穩(wěn)運(yùn)行無疑就顯得十分重要。本人近些年來開始從事整個(gè)吉林石化公司的網(wǎng)絡(luò)運(yùn)維工作，以下從信息安全管理的角度出發(fā)，首先對信息運(yùn)維中的局域網(wǎng)安全隱患因素進(jìn)行分析，然后提出相應(yīng)有效的解決措施。

[關(guān)鍵詞] 信息化；局域網(wǎng)；信息系統(tǒng)；網(wǎng)絡(luò)運(yùn)維；信息安全

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 026

[中圖分類號] TP393 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）06- 0042- 03

1 局域網(wǎng)概述

1.1 局域網(wǎng)的架構(gòu)

局域網(wǎng)[1]（Local Area Network，LAN）是在一個(gè)局部的地理范圍內(nèi)（如一個(gè)部門、工廠或地區(qū)分公司內(nèi)）將各種計(jì)算機(jī)，外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計(jì)算機(jī)通信網(wǎng)，“局域”意即帶有局限性。局域網(wǎng)之間的信息傳輸主要是通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來實(shí)現(xiàn)的。其拓?fù)浣Y(jié)構(gòu)分為：環(huán)形拓?fù)浣Y(jié)構(gòu)、樹形拓?fù)浣Y(jié)構(gòu)和星型拓?fù)浣Y(jié)構(gòu)等，它們之間可以互相組合，進(jìn)而組成局域網(wǎng)運(yùn)行的基礎(chǔ)構(gòu)架。局域網(wǎng)的硬件主要包括：工作站、網(wǎng)絡(luò)服務(wù)器、路由器、網(wǎng)橋、網(wǎng)管、網(wǎng)絡(luò)傳輸中的線路。與此同時(shí)，根據(jù)拓?fù)浣Y(jié)構(gòu)和連接線路的不同，還需要集中器和集線器等特殊設(shè)備，以滿足特定應(yīng)用要求的網(wǎng)絡(luò)軟件的正常運(yùn)行。

1.2 局域網(wǎng)的數(shù)據(jù)傳輸

局域網(wǎng)數(shù)據(jù)傳輸多以數(shù)字信號和模擬信號的形式進(jìn)行，但無論是哪種信號的形式進(jìn)行傳輸，均需實(shí)實(shí)在在的物理線路為載體。一般而言，終端接入線路用雙絞線，主干線路多用多?；騿文９饫w。

2 局域網(wǎng)存在的安全隱患

根據(jù)局域網(wǎng)的架構(gòu)及數(shù)據(jù)傳輸形式，我們以下將從物理安全和運(yùn)行安全這兩個(gè)方面對局域網(wǎng)所存在的安全隱患進(jìn)行討論。

2.1 物理安全隱患

局域網(wǎng)的物理安全指構(gòu)成局域網(wǎng)的硬件設(shè)備的安全，包括各個(gè)鏈路的物理線路、線路之間的各層交換機(jī)及布置在核心機(jī)房的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等設(shè)備的安全。

局域網(wǎng)鏈路的物理線路在構(gòu)建局域網(wǎng)時(shí)就基本固定，無論是干線鏈路還是支線線路，其存在的安全隱患就是人為有意或無意的破壞，造成線路的物理中斷。對于支線線路損壞影響是少數(shù)用戶的網(wǎng)絡(luò)中斷，若是干線線路則其影響范圍就更廣范。

局域網(wǎng)線路之間的各層交換機(jī)及布置在核心機(jī)房的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等設(shè)備當(dāng)然也存在人為有意或無意破壞的安全隱患，甚至是整個(gè)設(shè)備被盜的潛在風(fēng)險(xiǎn)。但除此外其重點(diǎn)還在于這些設(shè)備的運(yùn)行環(huán)境，比如運(yùn)行環(huán)境的溫度、濕度及四季變化天氣對設(shè)備的影響。以吉林石化為例，X廠所布置的一臺匯聚交換機(jī)就因冬天暖氣管線爆裂而導(dǎo)致其整機(jī)浸泡在水中，進(jìn)而影響了整個(gè)匯聚層以下用戶對網(wǎng)絡(luò)的正常使用。

以上提及的局域網(wǎng)物理硬件設(shè)備的安全隱患，雖然具有較大的偶然因素成分，但是當(dāng)我們在討論局域網(wǎng)所存在的各個(gè)安全隱患因素時(shí)，也是不能將其忽視的。

2.2 運(yùn)行安全隱患

局域網(wǎng)的運(yùn)行安全隱患是指局域網(wǎng)的硬件設(shè)備（交換機(jī)、服務(wù)器等）供電系統(tǒng)安全隱患及局域網(wǎng)運(yùn)行中遭到病毒和惡意代碼攻擊、非授權(quán)訪問或破壞數(shù)據(jù)庫完整性3方面的安全隱患，該3方面隱患在安全風(fēng)險(xiǎn)系數(shù)中占有較大的比重，是局域網(wǎng)安全隱患討論的重點(diǎn)。

2.2.1 供電系統(tǒng)安全隱患

局域網(wǎng)中的交換機(jī)、服務(wù)器平穩(wěn)運(yùn)行的基礎(chǔ)是供電系統(tǒng)的正常供電，因此局域網(wǎng)的運(yùn)行安全隱患也與供電系統(tǒng)有關(guān)。對于局域網(wǎng)的供電系統(tǒng)而言，無非就是供電線路老化或者過載導(dǎo)致的電路火災(zāi)隱患和意外停電等使整個(gè)局域網(wǎng)用戶不能訪問Web服務(wù)器及數(shù)據(jù)庫服務(wù)器。

2.2.2 病毒和惡意代碼攻擊、非授權(quán)訪問及破壞數(shù)據(jù)庫完整性等對局域網(wǎng)構(gòu)成的安全隱患

2.2.2.1 病毒和惡意代碼攻擊

病毒和惡意代碼一直是計(jì)算機(jī)安全的主要威脅。計(jì)算機(jī)病毒通過網(wǎng)絡(luò)進(jìn)行傳播，對網(wǎng)絡(luò)的可用性進(jìn)行攻擊，損耗可用帶寬；破壞網(wǎng)絡(luò)管理的通信，通過攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施的控制信息，從而干擾網(wǎng)絡(luò)中的信息流，造成網(wǎng)絡(luò)基礎(chǔ)設(shè)施不能正常使用。吉林石化研究院某部門就曾因一臺終端中毒，導(dǎo)致整個(gè)部門網(wǎng)絡(luò)中斷的事故發(fā)生。而惡意代碼主要利用本地主機(jī)上一些特殊的Native API 函數(shù)和內(nèi)核系統(tǒng)函數(shù)，進(jìn)行感染、傳播和隱藏，從而控制系統(tǒng)進(jìn)程、文件、注冊表、系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù)等。雖然采用物理方法將公司局域網(wǎng)和互聯(lián)網(wǎng)隔離，可以降低從互聯(lián)網(wǎng)上感染病毒以及受到惡意代碼攻擊的幾率，但是采用物理方法的同時(shí)又會使用移動(dòng)存儲介質(zhì)，若感染病毒的移動(dòng)存儲介質(zhì)被頻繁使用，系統(tǒng)的安全隱患依然不容忽視。

2.2.2.2 非授權(quán)訪問

用戶分為合法用戶和非法用戶兩種，當(dāng)兩者對網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問時(shí)，因占用大量的系統(tǒng)資源，容易導(dǎo)致網(wǎng)絡(luò)發(fā)生異常甚至癱瘓等危險(xiǎn)，還極有可能留下泄密的安全隱患。所謂非授權(quán)訪問即未經(jīng)允許，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限、越權(quán)訪問信息。非授權(quán)訪問主要有以下幾種形式：假冒合法用戶入侵系統(tǒng)、對合法賬戶進(jìn)行身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。因此假如網(wǎng)絡(luò)資源被非授權(quán)訪問，則會造成信息被非法獲取的隱患。

2.2.2.3 破壞數(shù)據(jù)庫完整性

數(shù)據(jù)庫作為所有業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理和存儲的平臺，存儲了大量重要信息，因此極易受到非法者的攻擊。非法者利用各種工具監(jiān)視、收集網(wǎng)絡(luò)中傳輸?shù)男畔?，?dāng)他們截獲用戶賬號或者口令后即可隨意進(jìn)出數(shù)據(jù)庫，對數(shù)據(jù)庫進(jìn)行篡改、偽造，竊取。另外，若數(shù)據(jù)庫的個(gè)別用戶賬號戶權(quán)限過大，容易造成合法用戶的非授權(quán)訪問，如：訪問、修改其他合法用戶的信息等，從而造成數(shù)據(jù)庫信息紊亂，丟失等極其嚴(yán)重的后果。

3 局域網(wǎng)安全策略研究

通過以上對局域網(wǎng)安全隱患的分析，現(xiàn)進(jìn)行安全隱患的策略研究，提出對應(yīng)的防范及解決措施。

3.1 物理安全隱患的防范及解決措施

對于局域網(wǎng)物理線路的安全隱患來說，主要還是預(yù)防為主，做到定期檢查，對可能會被損壞的線路進(jìn)行及時(shí)的環(huán)境整治，避免其遭到破壞。其次是對于主干鏈路，要有備份鏈路，這樣做的好處是在主干鏈路損壞中斷后，可以切換到備份鏈路，從而在盡可能短的時(shí)間里讓網(wǎng)路恢復(fù)正常，進(jìn)而減輕網(wǎng)路中斷的影響。

局域網(wǎng)交換機(jī)、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等硬件設(shè)備的安全隱患，主要在于其運(yùn)行環(huán)境。①要求其所處環(huán)境地點(diǎn)安全可靠，保證不會被人為破壞甚至是丟失，這就要求在局域網(wǎng)的管理上形成嚴(yán)格的規(guī)章制度，由專門的信息管理員負(fù)責(zé)監(jiān)督執(zhí)行。②設(shè)備所處自然環(huán)境，針對一年四季的氣候變化做好相應(yīng)的安全隱患預(yù)防工作，比如局域網(wǎng)重要的服務(wù)器、核心交換機(jī)要有防雷設(shè)施。總的說來，對于局域網(wǎng)硬件設(shè)備安全隱患的解決措施重點(diǎn)還在于做好定期的檢查工作，針對檢查結(jié)果再進(jìn)行問題整改或是提前預(yù)防隱患發(fā)生。

3.2 運(yùn)行安全隱患的防范及解決措施

3.2.1 供電系統(tǒng)安全隱患的解決措施

解決局域網(wǎng)供電系統(tǒng)線路老化或過載的安全隱患主要還依賴于制定的局域網(wǎng)管理規(guī)章制度，做到定期檢查、發(fā)現(xiàn)問題、整改問題，進(jìn)而避免隱患事故的發(fā)生。其次是對核心設(shè)備的供電系統(tǒng)提供UPS備用應(yīng)急電源，以防止意外停電帶來的大規(guī)模網(wǎng)絡(luò)中斷。

3.2.2 病毒和惡意代碼攻擊、非授權(quán)訪問及破壞數(shù)據(jù)庫完整性等對局域網(wǎng)構(gòu)成的安全隱患解決措施

根據(jù)病毒和惡意代碼攻擊、非授權(quán)訪問及破壞數(shù)據(jù)庫完整性等局域網(wǎng)安全隱患的各自特點(diǎn)，我們將采取病毒防護(hù)、授權(quán)管理以及數(shù)據(jù)庫管理這3方面對應(yīng)措施來保障局域網(wǎng)的安全平穩(wěn)運(yùn)行。

3.2.2.1 局域網(wǎng)病毒和惡意代碼攻擊類安全隱患的解決措施

針對病毒[2]入侵一般采用病毒掃描的方法。病毒掃描就是在文件和引導(dǎo)文件記錄中使用病毒掃描程序來搜索病毒的工作。病毒掃描程序一般分為按需掃描型和內(nèi)存駐留型兩種。

按需掃描型：按需掃描程序是在系統(tǒng)后臺運(yùn)行的程序，通常在事后工作，往往造成系統(tǒng)先被感染病毒后才被發(fā)現(xiàn)。

內(nèi)存駐留型：每個(gè)系統(tǒng)在系統(tǒng)初始化時(shí)都會啟動(dòng)一個(gè)內(nèi)存駐留掃描程序，以便在病毒留存本地文件之前或進(jìn)入內(nèi)存運(yùn)行之前把它們清除。一般來說，反病毒程序都含有一個(gè)內(nèi)存掃描組件，負(fù)責(zé)通過掃描內(nèi)存來搜索存儲在內(nèi)存中的文件和引導(dǎo)記錄病毒。內(nèi)存掃描病毒主要是針對計(jì)算機(jī)感染了讀取隱藏病毒的情況。

針對網(wǎng)絡(luò)之前殘留的病毒以及移動(dòng)存儲介質(zhì)的使用導(dǎo)致用戶終端交叉感染惡意代碼等安全隱患，主要采用安裝網(wǎng)絡(luò)版查毒軟件，定期更新病毒庫，并設(shè)置定時(shí)且強(qiáng)制查殺病毒的策略以及開機(jī)對內(nèi)存進(jìn)行病毒掃描策略，降低病毒爆發(fā)的隱患。另外移動(dòng)存儲介質(zhì)采用集中管理的方式，確保每次使用完成后由專人進(jìn)行病毒查殺，從而避免用戶終端之間的病毒交叉感染。

3.2.2.2 通過授權(quán)管理解決非授權(quán)訪問的安全隱患

授權(quán)管理主要采用防火墻和交換機(jī)來實(shí)現(xiàn)：

（1） 防火墻

防火墻設(shè)置[3]在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的信息的唯一出入口處。通過監(jiān)測、限制、更改通過防火墻的數(shù)據(jù)流，盡可能地對外屏蔽被保護(hù)的網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運(yùn)行情況等，從而實(shí)現(xiàn)對網(wǎng)絡(luò)的保護(hù)。雖然防火墻的主要作用用于禁止外部非法信息流入，但是為了避免內(nèi)部員工的泄密事件，防火墻對內(nèi)部信息的流向也同樣需要審核和限制。防火墻主要具有以下5大功能：①過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；②管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；③封堵某些禁止的業(yè)務(wù)；④記錄通過防火墻的信息內(nèi)容和活動(dòng)；⑤對網(wǎng)絡(luò)攻擊的檢測和告警。

根據(jù)防火墻的特性，在防火墻上，開放客戶端與服務(wù)器之間的訪問策略，根據(jù)雙向最小化原則，進(jìn)行相應(yīng)的設(shè)置。雙向最小化的原則即為滿足用戶的正常使用需求而開放相應(yīng)的端口。

（2）交換機(jī)

在吉林石化這樣規(guī)模較大的企業(yè)局域網(wǎng)中，通常存在多個(gè)功能不同的網(wǎng)絡(luò)分支，如財(cái)務(wù)部、科技發(fā)展部及各個(gè)二級廠的生產(chǎn)業(yè)務(wù)等，為了企業(yè)的機(jī)密信息不發(fā)生外漏現(xiàn)象， 需要對不同部門用戶的訪問進(jìn)行合理控制， 通過在交換機(jī)上劃分虛擬網(wǎng)絡(luò)（Virtual Local Area Network，VLAN）可以將整個(gè)網(wǎng)絡(luò)按部門劃分為幾個(gè)不同的廣播域，實(shí)現(xiàn)不同部門網(wǎng)絡(luò)隔離的訪問控制。這樣還可以防止影響一個(gè)網(wǎng)段的問題傳播到整個(gè)網(wǎng)絡(luò)。

3.2.2.3 數(shù)據(jù)庫安全隱患解決措施

數(shù)據(jù)庫作為應(yīng)用系統(tǒng)的數(shù)據(jù)處理和存儲的重要平臺，為防止其遭受攻擊而破壞其數(shù)據(jù)庫完整性，需指定專人管理，及時(shí)更新數(shù)據(jù)庫補(bǔ)丁，對數(shù)據(jù)庫的默認(rèn)設(shè)置進(jìn)行更改，完善各種安全設(shè)置，對賬戶進(jìn)行最小授權(quán)，定期備份數(shù)據(jù)庫確保數(shù)據(jù)的完整性。

4 結(jié) 語

隨著吉林石化信息化水平的不斷提高，各種專業(yè)生產(chǎn)系統(tǒng)和辦公信息系統(tǒng)也陸續(xù)建設(shè)起來，這些IT信息系統(tǒng)的平穩(wěn)運(yùn)行更是離不開局域網(wǎng)網(wǎng)絡(luò)，企業(yè)對網(wǎng)絡(luò)安全性的需求也會隨之日益增強(qiáng)。為此，我們作為企業(yè)網(wǎng)絡(luò)運(yùn)維的信息人員，需要在不斷鞏固現(xiàn)有網(wǎng)絡(luò)安全的基礎(chǔ)上，進(jìn)一步結(jié)合企業(yè)未來的發(fā)展，加強(qiáng)網(wǎng)絡(luò)安全措施，為企業(yè)提供一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

主要參考文獻(xiàn)

[1]李全紅.局域網(wǎng)組建與維護(hù)[M].上海：上?？茖W(xué)普及出版社，2010.

[2]王建鋒，鐘瑋，楊威.計(jì)算機(jī)病毒分析與防范大全[M].第3版.北京：電子工業(yè)出版社，2011.

[3]閻慧.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2004.