油田企业如何加强信息网络风险控制
2012-04-29张绍东
张绍东
伴随中国石油全面建设综合性能源公司战略的不断推进,信息网络技术日益成为油田企业生存发展的技术保障。根据本人在油田企业信息管理工作中的多年实践,对于企业网络信息安全的方案进行系统研究,从而为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏,为油田生产提供有力的信息技术支撑。
信息网络;安全防护;安全策略;安全管理
网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今,Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了本文探讨的重点。
1.风险分析
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
2.安全技术策略
采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。采用各种安全技术,构筑防御系统,主要有---防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。NAT技术:隐藏内部网络信息。VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。认证:提供基于身份的认证,并在各种认证机制中可选择使用。多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。建立分层管理和各级安全管理中心。
3.防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
物理安全。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行,在物理安全方面应采取如下措施:产品保障、运行安全、防电磁辐射、保安防护。
防火墙技术。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。
VPN技术。VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。
VPN有三种解决方案:如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程访问虚拟网(Access VPN)。如果要进行企业内部各分支机构的互连,使用企业内部虚拟网(Intranet VPN)是很好的方式。如果提供B2B之间的安全访问服务,则可以考虑Extranet VPN。
网络加密技术。IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。I主要包括对称加密技术、非对称加密/公开密钥加密、RSA算法、身份认证、密钥备份和恢复、证书管理与撤消系统,以及多层次多级别的防病毒系统和入侵检测、虚拟专用网技术虚拟专用网(Virtual Private Network,VPN)。
4.网络安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。针对以上问题和网管人员的不足,下面介绍一系列比较重要的网络服务。
通信伙伴认证。通信伙伴认证服务的作用是通信伙伴之间相互确庥身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证,通信伙伴认证服务可以通过加密机制,数字签名机制以及认证机制实现。
访问控制。访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序,是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。
数据保密。数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据,也包括传输中的数据。保密查以对特定文件,通信链路,甚至文件中指定的字段进行。数据保密服务可以通过加密机制和路由控制机制实现。
业务流分析保护。业务流分析保护服务的作用是防止通过分析业务流,来获取业务量特征,信息长度以及信息源和目的地等信息。
业务流分析保护服务可以通过加密机制,伪装业务流机制,路由控制机制实现。数据完整性保护。数据完整性保护服务的作用是保护存储和传输中的数据不被删除,更改,插入和重复,必要时该服务也可以包含一定的恢复功能。
数据完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现。
签字。签字服务通过数字签名机制及公证机制实现,作用在于避免通信双方对信息的来源发生争议。
[1]辜川毅.计算机网络安全技术.北京:机械工业出版社,2004
[2]孔宪君,吕 滨.计算机网络操作系统原理与应用.北京:机械工业出版社,2003