石化企業(yè)網(wǎng)絡(luò )安全及其解決方案

　　隨著(zhù)企業(yè)信息化進(jìn)程的不斷發(fā)展，網(wǎng)絡(luò )已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò )各類(lèi)系統諸如ERP系統、原油管理信息系統、電子郵件系統以及OA協(xié)同辦公系統等都相繼上線(xiàn)運行，信息化的發(fā)展極大地改變了企業(yè)傳統的管理模式，實(shí)現了企業(yè)內的資源共享。與此同時(shí)，網(wǎng)絡(luò )安全問(wèn)題13益突出，各種針對網(wǎng)絡(luò )協(xié)議和應用程序漏洞的新型攻擊層出不窮．病毒威脅無(wú)處不在。

　　因此，了解網(wǎng)絡(luò )安全，做好防范措施，保證系統安全可靠地運行已成為企業(yè)網(wǎng)絡(luò )系統的基本職能．也是企業(yè)本質(zhì)安全的重要一環(huán)。

　　1石化企業(yè)網(wǎng)絡(luò )安全現狀

　　石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區客戶(hù)機，通過(guò)內部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內部網(wǎng)絡(luò )中。各計算機處在同一網(wǎng)段或通過(guò)Vlan(虛擬網(wǎng)絡(luò ))技術(shù)把企業(yè)不同業(yè)務(wù)部門(mén)相互隔離。

　　2企業(yè)網(wǎng)絡(luò )安全概述

　　企業(yè)網(wǎng)絡(luò )安全隱患的來(lái)源有內、外網(wǎng)之分，網(wǎng)絡(luò )安全系統所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò )的非法入侵、攻擊和訪(fǎng)問(wèn)。企業(yè)網(wǎng)絡(luò )安全隱患主要如下：

　　1)操作系統本身存在的安全問(wèn)題
　　2)病毒、木馬和惡意軟件的入侵
　　3)網(wǎng)絡(luò )黑客的攻擊
　　4)管理及操作人員安全知識缺乏
　　5)備份數據和存儲媒體的損壞

　　針對上述安全隱患，可采取安裝專(zhuān)業(yè)的網(wǎng)絡(luò )版病毒防護系統，同時(shí)加強內部網(wǎng)絡(luò )的安全管理；配置好防火墻過(guò)濾策略，及時(shí)安裝系統安全補??；在內、外網(wǎng)之間安裝網(wǎng)絡(luò )掃描檢測、入侵檢測系統，配置網(wǎng)絡(luò )安全隔離系統等。

　　3網(wǎng)絡(luò )安全解決方案

　　一個(gè)網(wǎng)絡(luò )系統的安全建設通常包含許多方面，主要為物理安全、數據安全、網(wǎng)絡(luò )安全、系統安全等。

　　3．1物理安全

　　物理安全主要指環(huán)境、場(chǎng)地和設備的安全及物理訪(fǎng)問(wèn)控制和應急處置計劃等，包括機房環(huán)境安全、通信線(xiàn)路安全、設備安全、電源安全。

　　主要考慮：自然災害、物理?yè)p壞和設備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò )防雷等。

　　3．2網(wǎng)絡(luò )安全

　　石化企業(yè)內部網(wǎng)絡(luò )，主要運行的是內部辦公、業(yè)務(wù)系統等，并與企業(yè)系統內部的上、下級機構網(wǎng)絡(luò )及Internet互連。

　　3．2．1 VLAN技術(shù)

　　VLAN即虛擬局域網(wǎng)。是通過(guò)將局域網(wǎng)內的設備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現虛擬工作組的技術(shù)。

　　借助VLAN技術(shù)，可將不同地點(diǎn)、不同網(wǎng)絡(luò )、不同用戶(hù)組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò )環(huán)境，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

　　3．2．2防火墻技術(shù)

　　1)防火墻體系結構

　?、匐p重宿主主機體系結構

　　防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體，執行分離外部網(wǎng)絡(luò )和內部網(wǎng)絡(luò )的任務(wù)。

　?、诒黄帘沃鳈C體系結構

　　被屏蔽主機體系結構是指通過(guò)一個(gè)單獨的路由器和內部網(wǎng)絡(luò )上的堡壘主機共同構成防火墻．強迫所有的外部主機與一個(gè)堡壘主機相連．而不讓其與內部主機相連。

　?、郾黄帘巫泳W(wǎng)體系結構

　　被屏蔽子網(wǎng)體系結構的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機的兩端，一端連接內網(wǎng)，一端連接外網(wǎng)。為了入侵這種類(lèi)型的體系結構。入侵者必須穿透兩個(gè)屏蔽路由器。

　　2)企業(yè)防火墻應用

　?、倨髽I(yè)網(wǎng)絡(luò )體系中的三個(gè)區域

　　邊界網(wǎng)絡(luò )。此網(wǎng)絡(luò )通過(guò)路由器直接面向Internet，通過(guò)外圍防火墻將數據轉發(fā)到外圍網(wǎng)絡(luò )。

　　外圍網(wǎng)絡(luò )。即DMZ，將用戶(hù)連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過(guò)內部防火墻連接到內部網(wǎng)絡(luò )。

　　內部網(wǎng)絡(luò )。連接各個(gè)內部服務(wù)器(如企業(yè)OA服務(wù)器，ERP服務(wù)器等)和內部用戶(hù)。

　?、诜阑饓捌涔δ?/p>

　　在企業(yè)網(wǎng)絡(luò )中。常常有兩個(gè)不同的防火墻：外圍防火墻和內部防火墻。雖然任務(wù)相似，但側重點(diǎn)不同，外圍防火墻主要提供對不受信任的外部用戶(hù)的限制，而內部防火墻主要防止外部用戶(hù)訪(fǎng)問(wèn)內部網(wǎng)絡(luò )并且限制內部用戶(hù)非授權的操作。

　　在以上3個(gè)區域中，雖然內部網(wǎng)絡(luò )和DMZ都屬于企業(yè)內部網(wǎng)絡(luò )的一部分，但他們的安全級別不同，對于要保護的大部分內部網(wǎng)絡(luò )，一般禁止所有來(lái)自Intemet用戶(hù)的訪(fǎng)問(wèn)；而企業(yè)DMZ區，限制則沒(méi)有那么嚴格。

　　3．2．3VPN技術(shù)

　　VPN(Virtual Private Network)虛擬專(zhuān)用網(wǎng)絡(luò )．一種通過(guò)公用網(wǎng)絡(luò )安全地對企業(yè)內部專(zhuān)用網(wǎng)絡(luò )進(jìn)行遠程訪(fǎng)問(wèn)的連接方式。位于不同地方的兩個(gè)或多個(gè)企業(yè)內部網(wǎng)之間就好像架設了一條專(zhuān)線(xiàn)，但它并不需要真正地去鋪設光纜之類(lèi)的物理線(xiàn)路。

　　企業(yè)用戶(hù)采用VPN技術(shù)來(lái)構建其跨越公共網(wǎng)絡(luò )的內聯(lián)網(wǎng)系統，與Internet進(jìn)行隔離，控制內網(wǎng)與Internet的相互訪(fǎng)問(wèn)。VPN設備放置于內部網(wǎng)絡(luò )與路由器之間，將對外服務(wù)器放置于VPN設備的DMZ 口與內部網(wǎng)絡(luò )進(jìn)行隔離，禁止外網(wǎng)直接訪(fǎng)問(wèn)內網(wǎng)，控制內網(wǎng)的對外訪(fǎng)問(wèn)。

　　3．3應用系統安全

　　企業(yè)應用系統安全包括兩方面。一方面涉及用戶(hù)進(jìn)入系統的身份鑒別與控制，對安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數據庫系統、Web、FTP服務(wù)、E-MAIL等

　　病毒防護是企業(yè)應用系統安全的重要組成部分，企業(yè)在構建網(wǎng)絡(luò )防病毒系統時(shí)，應全方位地布置企業(yè)防毒產(chǎn)品。

　　在網(wǎng)絡(luò )骨干接入處。安裝防毒墻，對主要網(wǎng)絡(luò )協(xié)議(SMTP、FTP、Http)進(jìn)行殺毒處理；在服務(wù)器上安裝單獨的服務(wù)器殺毒產(chǎn)品，各用戶(hù)安裝網(wǎng)絡(luò )版殺毒軟件客戶(hù)端；對郵件系統，可采取安裝專(zhuān)用郵件殺毒產(chǎn)品。

　　4結束語(yǔ)

　　本文從網(wǎng)絡(luò )安全及其建設原則進(jìn)行了論述。對企業(yè)網(wǎng)絡(luò )安全建設的解決方案進(jìn)行了探討和總結。石化企業(yè)日新月異，網(wǎng)絡(luò )安全管理任重道遠，網(wǎng)絡(luò )安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強網(wǎng)絡(luò )安全建設，確保網(wǎng)絡(luò )安全運行勢在必行。