APP下载

浅析油田网络安全管理策略研究

2015-01-02

中国管理信息化 2015年23期
关键词:网关漏洞防火墙

舒 化

(新疆油田公司百口泉采油厂,新疆 克拉玛依 834000)

新疆油田网络是一个有各种网络硬件设备与信息系统所组成的复杂环境,具有应用系统多、重要数据多的显著特点。随着科学技术的进步,油田网络建设虽然取得了一定的进步,但是所面临的威胁也越来越多,为油田的信息安全与安全生产带来了巨大的挑战。

1 油田网络面临的安全隐患

1.1 网络病毒

传统病毒只是要破坏它们感染的设备,但是现代的病毒通常会通过Internet进行传播、复制并破坏其他计算机。现在的网络病毒具有明显的功利性,不再是显耀技术。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序,特洛伊木马程序可能不会进行任何直接的损坏,但是会将用户的信息从它安装的电脑上通过Internet发送到黑客那里,然后这个黑客了解它正在运行什么。

软件以及哪些位置易于攻击,就可以对该设备发起一个有目标的攻击了。更甚者是盗取客户的银行账户信息、股票账户信息、QQ信息、游戏账户信息、重要商业秘密等,进而进行实际的盗窃活动,造成客户严重的资金损失。

1.2 网络入侵

(1)数据包嗅探器

最普遍的安全威胁来自,同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得其具有很强的隐蔽性,往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析,或者深入了解帧以检查单个的IP数据包。嗅探器以混合模式运行,即它们侦听物理线路上的每个数据包

(2)IP 欺骗

IP欺骗是指对IP数据包的源地址进行更改以隐藏发送方的身份。因为Internet中的路由操作只使用目标地址将数据包发送到它的路径上,而会忽略源地址,所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包,而您不了解它来自何处。欺骗不一定具有破坏性,但是它表明入侵随时会出现。该地址可能位于您的网络之外(来隐藏入侵者的身份),也可能是一个具有特许权限的受信任内部地址。

(3)拒绝服务攻击

拒绝服务攻击是最难阻止的攻击,这些攻击与其他类型的攻击不同,因为它们不会对网络产生永久性破坏,而是通过对某个特定的计算机或者网络设备发起攻击,或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度,从而停止网络的运行。拒绝服务攻击利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。

(4)应用程序层攻击

应用程序层攻击通常是最引人注意的攻击,通常利用应用程序(如Web服务器和数据库服务器)中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问,这些用户是未知的并且不可信任,尤其对于Web服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的,因此最好的防护是安装软件生产商提供的最新更新。

2 加强油田网络安全的措施

2.1 采用入侵检测系统

虽然现在提倡使用入侵防御系统,但是入侵防御系统对于用户的要求较高,需要用户能够分别出哪些程序与进程是无害的。而油田局域网内的大多数用户并没有这个能力。因此应该在核心机上添加入侵检测系统,对于入侵检测系统所捕获的数据自有专业人士来进行分析,找出其中不正常的数据流。利用入侵检测系统当发现网络违规行为和未授权的网络访问时,入侵检测系统中一般都有相应的安全策略来对不同的情况进行响应,而且用户还能够自定义自己需要的安全策略。防火墙与入侵检测系统之间通过联动协议能够更好的对攻击进行防御。

2.2 防火墙之后串联防毒网关,增强病毒查杀与垃圾邮件过滤功能

防毒网关在病毒杀除、关键字过滤、垃圾邮件阻止等方面有着较强的功能,能有效的弥补杀毒软件与防火墙的不足,同时防毒网关还具有部分防火墙的功能,同时还能够对VLAN进行划分。防毒网关会对进出网络的数据进行检测,并对HTTP、FTP、SMTP、IMAP这四种协议的数据进行扫描,如果发现病毒就会采取相应的措施,例如隔离或者查杀。而且防毒网关还具有垃圾邮件的阻止功能也让油田网络免受垃圾邮件的干扰。

2.3 应用漏洞扫描系统,规范各种应用

就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技术,能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十分先进,但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注意这样几个标准:①必须要通过国家相应的权威认证,目前主要有这些组织的认证,公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心;②漏洞扫描系统的最新漏洞数量与升级速度,非专业的人员也要能够容易掌握系统的升级方法与漏洞更新方法;③漏洞扫描系统本身的安全性能,对于漏洞扫描系统本身的抗攻击能力与安全性必须要进行考查、确定;④是否支持分布式扫描,扫描系统必须要具有灵活、携带方便、穿透防火墙的特性,如果扫描所发出的数据包当中的一部分被路由器、防火墙过滤,那么将会降低扫描的准确性。

3 结语

信息化建设推动了数字油田的发展,但是由此带来的内网安全问题也比较突出。内网安全问题严重的甚至会影响到油田的正常生产的进行,为油田带来巨大的损失。因此,必须要对油田当前内网的安全性形式进行仔细的分析,并找到解决的措施,将油田的内网安全风险尽可能的降低,为安全生产提供保障。

猜你喜欢

网关漏洞防火墙
漏洞
构建防控金融风险“防火墙”
三明:“两票制”堵住加价漏洞
在舌尖上筑牢抵御“僵尸肉”的防火墙
高铁急救应补齐三漏洞
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
下一代防火墙要做的十件事
基于Zigbee与TCP的物联网网关设计
筑起网吧“防火墙”