浅谈油田内网安全管理
2014-04-29宁晓波
宁晓波
[摘要] 随着风城油田作业区网络规模的扩大和网络应用范围的扩展,转网络运维与安全管理工作已成为保障、促进油田发展建设的战略性工作。网络安全管理的目标,已从单纯的维护网络运行畅通转变为提高服务能力,保障信息系统可用性、连续性、安全性,将人、技术、管理等有机结合起来,形成技术有保障、管理有章法、人员守流程的综合保障体系。
[关键词] 内网;安全管理;终端;控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 13. 030
[中图分类号] TP393.1[文献标识码]A[文章编号]1673 - 0194(2014)13- 0044- 02
1前言
近年来,网络安全事件频频发生,人们对外部网络入侵和Internet的安全性日益重视,但来自内部网络的攻击却有愈演愈烈之势,内网安全成为企业管理的隐患。信息资料被非法泄露、拷贝、篡改,往往给各行业企事业单位造成重大损失。而如何使内部网络始终在安全、可靠、保密的环境下运行,帮助企业各类业务统一优化、规范管理,保障各类业务系统正常安全运行等一系列问题一直困扰着企事業单位的IT部门。
针对这些问题,风城油田作业区信息管理部门建立了一套由技术体系与管理体系构成的信息安全体系。通过技术体系加强网络管理力度、丰富网络管理手段、降低网络运维管理成本。通过管理体系提高员工网络安全风险防范意识。
2风城油田作业区网络概况
风城油田作业区下辖夏子街油田、风城油田及乌尔禾油田,作业区管辖面积153平方千米,战线达百余千米。作业区拥有的两大生产办公网络汇聚点,分布在克拉玛依市机关、乌尔禾前线基地办公楼,地理位置最远相距170多千米。目前,作业区共有10个独立办公地点,各类交换机60余台,PC终端千余台。
作业区网络具有接入点多、分布面广等特点,随着作业区的网络应用日益增多,信息管理部门应有效地进行网络资源管理,为作业区的信息化、自动化建设保驾护航,确保生产的正常进行。
随着风城油田作业区网络规模的扩大和网络应用范围的扩展,如何使内部网络始终处于安全、可靠、保密的环境下运行,帮助作业区各类业务统一优化、规范管理,保障各类业务系统正常安全运行是目前作业区网络管理一大难题。根据作业区实际情况,信息管理部门将管理、技术和策略有机结合,构建了一套信息安全体系(如图1所示)。
3风城油田作业区网络管理
根据油田网络管理现状,我们在加强技术防护手段的同时,整体规划,运用内网安全管理及补丁分发系统加强桌面计算机终端管理力度,通过划分网络安全域明确网络边界,加强网络安全防护与管理,利用交换机聚合技术提高网络传输能力,降低网络运维管理成本,同时,完善网络安全管理制度与流程,将人,技术、管理有机结合,提高网络整体抗风险能力,为作业区建设信息化、自动化油田打造一个坚实、稳定、高效的网络平台。
3.1 划分内部各子网安全域,明确各内部网络边界
作业区下属单位数量繁多,按业务类型与办公区域划分网络安全域,有利于构筑企业内网安全基础。根据实际情况,我们通过逻辑划分VLAN和物理隔离两种方式将网络划分为办公域、接入域、服务(计算)域、管理域(运维与管理的主要区域)和自动化生产域,不同的业务部门采用不同级别的安全防护机制,如采用三层交换机,建立VLAN,使用防火墙、隔离网闸等(见图2)。
在服务(计算)域部署各类服务器,在上游设立防火墙,部署网络安全策略,对处于不同安全级别域的用户访问进行审查控制。在自动化生产域,我们采用物理隔离方式在自动化专网上游部署隔离网闸,隔离自动化专网与办公网络。网闸的安全性体现在链路层断开,直接处理应用层数据,对应用层数据进行内容检查和控制,在网络之间交换的数据都是应用层的数据。
3.2 运用内网安全管理及补丁分发系统加强网络终端管理力度
内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。风城油田作业区办公网络作为新疆油田公司下级网络构成,它的安全与否直接决定了新疆油田公司整体网络安全级别。经调查分析,企业内网主要面临的安全威胁有如下几条:
(1)资产管理失控:网络中终端用户随意增减调换终端硬件配备、操作系统等。
(2)网络资源滥用:IP地址、流量滥用,影响网络正常使用。
(3)病毒蠕虫入侵:导致网络阻塞、数据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续的影响。
(4)重要信息泄密:因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭,造成不可弥补的重大损失。
(5)补丁管理混乱:终端用户不及时打补丁,从而为蠕虫与黑客入侵保留了通道。
针对常见内网隐患,风城油田作业区信息档案管理站利用油田公司部署的内网安全管理及补丁分发系统(VRV EDP)管理工具对作业区网络客户端进行定时检查与梳理,采用检查客户端安装补丁情况、核实硬件变更情况等检查手段(如图3所示),有效降低了内网安全风险级别。
3.3 建立信息安全管理体系
严密、完整的管理体制,不但可以在确保信息安全的前提下最大限度实现信息资源共享,而且可以弥补技术性安全管理体系的部分弱点。管理体系的建立和实施能为网络的管理和长期监控提供理论指导。管理体系可分为法律、制度和培训3部分。
与安全有关的法律法规是保障信息系统安全的最高行为准则,是制定管理制度的参考标准。依照安全需求制定一系列内部规章制度,从责任、人员、部位、行为等多方面对需要保护什么、为什么需要保护以及怎样保护涉密信息系统的安全做出具体规定,并通过全面推行,使之贯穿到日常具体工作当中。风城油田作业区成立了计算机兼职管理员小组进行安全培训。培训的内容包括法律法规、内部制度、安全意识和与岗位相关的重点安全防范技能等。提高了各科室单位与前线基层单位员工的计算机基础知识与网络安全知识水平,使员工能主动规避各类违规行为,从而减少了网络安全隐患。
4结束语
一种管理体系的建立涉及管理理念、管理模式的变革,信息安全体系在风城油田作业区的推广应用,既是对作业区网络安全管理工作的加强,也有益于对用户网络行为的引导和规范。从实际推广效果看, 风城作业区内网管理模式适合作业区现状, 减少了网络安全方面的威胁, 提升了计算机网络的安全等级。
笔者认为,要真正确保计算机网络及其相关信息的安全, 除了采取一些必要的技术手段外, 最重要的是信息安全管理体系的建立和实施。只有建立并切实实施信息安全管理体系,人、技术、管理等多方面手段多管齐下,调动各方积极性,引起领导重视,明确三方责任,使网络安全管理日常化、常态化,才能真正保障内网安全。
主要参考文献
[1]曾朝蓉.内网安全管理方案探讨[J].网络安全技术与应用,2009(11).
[2]甄保社.解放军医学图书馆内网安全管理系统[J].中华医学图书情报杂志,2009,18(2).
[3]蒋苹.计算机信息系统安全体系设计[J].计算机工程与科学,2003,25(1).
