论文部分内容阅读
摘 要:随着网络技术的普及和发展,网络上承载的应用越来越多,丰富的网络信息资源给人们带来了极大的方便,但同时,也给上网用户带来了安全问题,系统被侵犯、信息泄漏、信誉受损,以及灾难性事件的数量呈增加趋势。目前,石化集团正大力推进各下属企业的信息化建设,要求有一个强有力的网络安全体系来保证这些从分散到集中的数据、信息资源的安全和稳定。
关键词:企业;网络;安全;系统
本文以油田网络安全系统为例,浅议油田企业网络安全系统完善工程的途径。
一、网络安全系统完善工程的意义
目前,石化集团为建立现代企业制度,提高企业竞争力,正大力推进各下属企业的信息化建设,如ERP系统、生产管理调度系统、八大数据库系统等,所有这些系统的建设,都要求有一个强有力的网络安全体系来保证这些从分散到集中的数据、信息资源的安全和稳定。
油田经过多年的建设,已经形成完善整体结构为通过光纤连接的多级网络,随着油田网络应用的不断增加,联入企业网络的单位和用户也越来越多,信息系统面临被攻击和侵犯的风险也越来越大。特别是ERP系统的上线运行,对网络安全系统的需求就更加迫切。
根据《油田信息系统的安全策略》要求,建立油田信息网高强度的身份认证和授权体系,加强桌面安全管理体系的建设,提升主干网安全防范能力,保证关键应用的安全,不仅是油田的一项重要任务,也是整个石化信息网络安全体系的重要组成部分。
二、网络安全系统存在的问题
目前的信息安全建设只解决了风险较大的因特网出口的安全问题,离建立完整的信息系统安全体系距离很大,尚存在许多薄弱环节和信息安全“隐患”,目前主要表现在:
一是信息安全管理机制尚存在缺陷,特别是系统运行安全制度还不健全、标准规范尚未建立,难以适应业务连续性的要求;二是主干网上还未采取有效的安全防护措施,造成各单位病毒相互传播,使得主干网正常的信息传输出现阻塞;三是缺乏有效的身份认证与授权体系,在用户身份识别和信息资源访问控制上存在隐患,使应用系统的安全防护力度不够;四是桌面管理存在较大隐患,“病从桌入、病从网入”仍然是系统防病毒和其他信息安全工作的重点;病毒防范仍是最薄弱环节。五是应用信息系统没有建立相应的安全防护体系,不能保证重要应用系统的安全、可靠地运行;在重要的系统中,没有建立足够的认证审计机制,安全性较差,非法用户容易破解,存在重要业务数据被毁损或篡改的可能性。
三、确保网络安全系统工程的对策
目前,油田信息网络安全建设主要包括以几个方面:1.网络入侵检测系统;2.网络性能监控及故障分析系统。
一是网络入侵检测系统。在现有的网络安全防护体系中,信息网络面临的安全问题仅依靠单一的安全产品很难全面解决,而且传统的防火墙自身也存在一些不足之处。如果操作系统自身存在安全漏洞也有可能带来较大的安全风险。而IDS产品以其强大的入侵检测能力,完全弥补了防火墙的不足。入侵检测系统提供的和防火墙互动的功能,则可以从原来的静态防护变为动态防护,与其它安全产品综合部署则可以形成一个立体的防护体系。一旦发现可疑的行为,及时做出适当的响应,以保证将系统调整到“最安全”和“风险最低”的状态。这种动态的保护机制就是入侵检测系统。
入侵检测系统应具备以下特征:在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
入侵检测系统是为保证计算机系统的安全而配置的一种能够及时发现并报告系统中未授权或异常现象的技术,它可以及时发现恶意入侵者或识别出对计算机的非法访问行为,并对其进行隔离。入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。
二是网络性能监控及故障分析系统。在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的网络接口都可以访问在物理介质上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它自动接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
对于油田的信息网络面言,信息中心站在全局角度,对网络整体性能比较关注,可以在信息中心主控服务器上安装NAI
Sniffer网络协议分析仪,用于对全局的网络流量和状态进行监控,分析出网络效能问题。但NAI Sniffer是软件产品,安装使用相对复杂,而且移动不方便。可以备用一台便携式网络分析仪
FLUKE OPV-WGA/GIG (分布式网络综合协议分析仪兆型) ,由信息中心管理,二级单位网络出现故障时借用。
关键词:企业;网络;安全;系统
本文以油田网络安全系统为例,浅议油田企业网络安全系统完善工程的途径。
一、网络安全系统完善工程的意义
目前,石化集团为建立现代企业制度,提高企业竞争力,正大力推进各下属企业的信息化建设,如ERP系统、生产管理调度系统、八大数据库系统等,所有这些系统的建设,都要求有一个强有力的网络安全体系来保证这些从分散到集中的数据、信息资源的安全和稳定。
油田经过多年的建设,已经形成完善整体结构为通过光纤连接的多级网络,随着油田网络应用的不断增加,联入企业网络的单位和用户也越来越多,信息系统面临被攻击和侵犯的风险也越来越大。特别是ERP系统的上线运行,对网络安全系统的需求就更加迫切。
根据《油田信息系统的安全策略》要求,建立油田信息网高强度的身份认证和授权体系,加强桌面安全管理体系的建设,提升主干网安全防范能力,保证关键应用的安全,不仅是油田的一项重要任务,也是整个石化信息网络安全体系的重要组成部分。
二、网络安全系统存在的问题
目前的信息安全建设只解决了风险较大的因特网出口的安全问题,离建立完整的信息系统安全体系距离很大,尚存在许多薄弱环节和信息安全“隐患”,目前主要表现在:
一是信息安全管理机制尚存在缺陷,特别是系统运行安全制度还不健全、标准规范尚未建立,难以适应业务连续性的要求;二是主干网上还未采取有效的安全防护措施,造成各单位病毒相互传播,使得主干网正常的信息传输出现阻塞;三是缺乏有效的身份认证与授权体系,在用户身份识别和信息资源访问控制上存在隐患,使应用系统的安全防护力度不够;四是桌面管理存在较大隐患,“病从桌入、病从网入”仍然是系统防病毒和其他信息安全工作的重点;病毒防范仍是最薄弱环节。五是应用信息系统没有建立相应的安全防护体系,不能保证重要应用系统的安全、可靠地运行;在重要的系统中,没有建立足够的认证审计机制,安全性较差,非法用户容易破解,存在重要业务数据被毁损或篡改的可能性。
三、确保网络安全系统工程的对策
目前,油田信息网络安全建设主要包括以几个方面:1.网络入侵检测系统;2.网络性能监控及故障分析系统。
一是网络入侵检测系统。在现有的网络安全防护体系中,信息网络面临的安全问题仅依靠单一的安全产品很难全面解决,而且传统的防火墙自身也存在一些不足之处。如果操作系统自身存在安全漏洞也有可能带来较大的安全风险。而IDS产品以其强大的入侵检测能力,完全弥补了防火墙的不足。入侵检测系统提供的和防火墙互动的功能,则可以从原来的静态防护变为动态防护,与其它安全产品综合部署则可以形成一个立体的防护体系。一旦发现可疑的行为,及时做出适当的响应,以保证将系统调整到“最安全”和“风险最低”的状态。这种动态的保护机制就是入侵检测系统。
入侵检测系统应具备以下特征:在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
入侵检测系统是为保证计算机系统的安全而配置的一种能够及时发现并报告系统中未授权或异常现象的技术,它可以及时发现恶意入侵者或识别出对计算机的非法访问行为,并对其进行隔离。入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。
二是网络性能监控及故障分析系统。在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的网络接口都可以访问在物理介质上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它自动接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
对于油田的信息网络面言,信息中心站在全局角度,对网络整体性能比较关注,可以在信息中心主控服务器上安装NAI
Sniffer网络协议分析仪,用于对全局的网络流量和状态进行监控,分析出网络效能问题。但NAI Sniffer是软件产品,安装使用相对复杂,而且移动不方便。可以备用一台便携式网络分析仪
FLUKE OPV-WGA/GIG (分布式网络综合协议分析仪兆型) ,由信息中心管理,二级单位网络出现故障时借用。