刘利军　宋　慧　王克江

[摘要]随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。根据近年国内网络领域新技术，结合油田内部网的实际需要及工作实践中积累的经验，从网络入侵防范、网络可靠性以及网络行为等三个方面作阐述，对网络信息安全提出了若干见解，通过加强网络信息安全的研究与建设，在实际中采取切实有效的安全控制对策，对提升信息安全具有重要意义。

[关键词]网络安全 防火墙 ACL VLAN 入侵检测 上网行为管理

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0510108－01

网络安全是指计算机网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，系统连续、可靠、正常运行，网络服务不中断。从其本质上来讲就是网络上的信息安全。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

一、网络入侵防范对策及应用

（一）部署网络防火墙防止外部非法入侵。防火墙技术是目前解决非法入侵的最热门方法。在中心机房设置防火墙，能够对所有企图进入内部网络的流量进行控制。通常采用硬件防火墙或防火墙软件（如Check-point）等，它们都能识别、记录并阻塞非法的网络入侵行为，从而保证网络外部访问的安全性，是网络安全的第一道大门，另外，笔者认为对于用户较多的网络建议采用硬件防火墙。

（二）部署网络入侵检测系统。由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。入侵检测是通过旁路监听的方式不间断地收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，并通过各种手段向管理员发出警告。入侵检测系统不但可以发现来自外部的攻击，也可以发现来自于内部的恶意行为。是防火墙的必要补充和网络安全的第二道闸门。从技术上看，入侵检测系统可以分为三类：基于网络的系统、基于主机的系统和二者混合的系统。

基于网络的入侵检测系统放置在重要的网段内，监视网段中的各种数据包，对每个数据包或可疑的数据包进行特征分析。如数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，绝大部分入侵检测系统是基于网络的。

（三）限制非授权的访问。在路由器和交换机上设置访问控制列表（ACL），在交换机端口进行MAC地址绑定限制，可以有效地防止用户非法的企图。灵活的访问控制列表（ACL）能有效过滤阻止除指定地域和人员（中心机房、管理员）以外的IP对交换机的访问。而交换机端口MAC地址绑定限制使非法用户根本无法上网，从接入层上杜

绝了非法用户的接入。

二、网络可靠性的对策及应用

（一）网络拓扑结构冗余与容错。要提高网络的安全可靠性，不但要提高单台交换机的安全可靠性，还要通过网络拓扑结构的设计和配置冗余交换机来消除网络上至少是主干网络上单点故障。可以配备主备用主干交换机和主备用主干链路，通过一系列网络技术（如热备份路由器协议HSRP、VRRP等）和容错技术（如FEC/GEC技术等），使两台交换机同时发挥作用，均衡网络负载，在特定情况下当第一跳路由器使用失败（或IP流量转移失败）时，仍能维护路由器间的连通性，达到网络容错的目的，以及实现链路的冗余和故障的恢复，提高服务器的物理访问能力和稳定性，从而增强网络的安全性。

（二）应用VLAN（虚拟局域网）及扩展技术。虚拟网技术是近年来在计算机网络领域兴起的一项新技术。虚拟网把传统的广播域按需要分割成各个独立的广播域，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著改善和提高。利用虚拟网技术上的特点可以将不同小区、不同楼宇或不同应用系统分配到不同的VLAN之中，实现不同小区、不同楼宇或不同应用系统之间的逻辑隔离。另外，由于VLAN之间的通信是通过路由器实现的，路由器使得双方不能直接连接，而路由器的包过滤或防火墙的功能可被用来对不同VLAN间用户的通信做逐项检查，通信可以按照网络管理人员的要求被允许或禁止，从而实现不同小区、不同楼宇或不同应用系统之间的访问控制，控制网络上的广播风暴，抑制病毒传播，防范黑客攻击，增强网络的安全性，提高网络带宽利用率。而VLAN扩展技术的应用又实现了楼宇接入交换机的端口隔离，进一步缩小了广播域，提升了网络的性能。

（三）定期进行网络数据备份。网络数据备份不仅仅是指网络上各计算机的文件备份，它实际上包含了整个网络系统的一套备份体系。一套完整的备份方案应该包括备份介质和备份软件的选择。备份介质目前主要使用的有硬盘、可读CD等，随着网络的发展，系统日增复杂，数据量日增，硬盘是最理想的备份介质。在备份策略上可以设置备份系统，每周进行一次包括操作系统级的完全数据备份，每天进行一次数据库的完全数据备份。

三、网络行为安全对策及应用

（一）集中部署上网行为管理系统。网络上充斥着大量的非法信息，合理的过滤并记录用户的上网行为日志无疑成了重中之重，它通过比对用户所访问的地址URL，进行判断，如果不是黑名单列表中的放行，否则丢弃该数据包。并对用户的IP和所访问的地址对应关系做日志记录。

（二）部署综合网管设备日志管理系统。网络设备在系统日志中产生大量的审计数据。对于这些系统审计日志进行管理是所有的安全管理中最基础的工作之一。而综合网管设备日志管理系统，通常包括系统日志进程模块（用于接收设备发来的设备日志），系统日志配置模块，一个或多个日志文件模块（用于存储所述设备日志文件），管理系统设备日志接收模块，日志管理系统配置模块，日志分析处理模块（用于分析所接收的设备日志文件中的设备日志），应用进程处理模块，数据库存储模块。通过该系统建立起了与日志文件之间的管道连接，从而能够进行多种设备日志的实时处理，并灵活切换处理方式，大大提升了处理速度。

四、结语

总之，网络安全是一个复杂的系统工程，只有全面考虑系统的安全需求，将多种安全技术结合在一起，才能形成一个高效、通用、安全的网络。而如何建设一个高速高效、资源丰富、应用广泛的油田网，也同样需要综合考虑各方面的因素。笔者有理由相信，在当今信息网络技术突飞猛进的时代，今后还会有更多新的网络安全方面的问题出现，对于出现的问题，期待着与大家共同研究和探讨。

参考文献：

[1]陈彦峰、张长春，电脑黑客攻防完全谋略[M].北京：航空工业出版社，2003:313-332.

[2]周国民，入侵检测产品市场扫描[J].网络安全技术与应用，2004,5:64-67.

[3]仲治国、白海风、陈会安，网管员实战宝典[M].重庆：齐鲁电子音像出版社，2006:242-310.

[4]刘敏、王晓静、张威，中国铁通网络安全问题及处理手段[J].信息网络安全，2006,2:29-31.