油田内网安全管理策略探讨

1、油田内网安全管理策略探讨摘要：近几年，随着油田内部局域网的规模不断扩大，暴露出了 许多的安全问题。原有的安全管理体系已经很难满足新的要求。为 此，必须要明确当前油田内网所面临的安全隐患，然后找到相对应 的措施来降低安全问题所带来的各种风险。关键词：油田；内部局域网；网络安全oil field internal lan network security management strategy han haiyan(tianjin dagang oil field planl err, cangzhou061103, china) abstract:in recent years, with th

2、e expanding of oilfield internal lan,exposed the many safety issues the existing safety management system has been difficult to meet the new requirements.to this end, we must clear the security risks faced by the current oil field within the network,then find the corresponding measures to reduce the

3、 risk of a variety of security issueskeywords:oil;internal lan;network security油山内网是一个有各种网络硬件设备与信息系统所组成的复杂环 境，具有应用系统多、重要数据多的显著特点。随着科学技术的进 步，油田内网建设虽然取得了一定的进步，但是所面临的威胁也越 来越多，为油田的信息安全与安全生产带来了巨大的挑战。一、油田内网面临的安全隐患（一）无法有效的监控入侵行为在组建内网虽然利用防火墙将内外网之间分割了开来为内网带来 了一定的安全性。但是如今的防火墙技术仍然是有缺陷的，这就使 得防火墙无法避免某些安全风险，同时如今的

4、网络攻击手段也在不 断的更新，这就使得防火墙更加疲于应付。一些手段高明的黑客或 者其他入侵者有能力找到防火墙中仍然存在的漏洞进行入侵，而有 的入侵者本就在防火墙内，这样的入侵行为很难被检测到，而h内 网中的用户也基本没有能力进行判断。（二）无法有效的防御各种新型病毒与垃圾邮件如今的病毒以及病毒的变种发展的十分迅速，还有各种垃圾邮件 也是层出不穷，使得各种新的病毒与垃圾邮件流入到内网中，而且 很难有效的进行拦截。现在的杀毒软件对新病毒与垃圾软件基本无 能为力，功能强大的能够识别一些新的病毒但是误杀率较高，还有 的杀毒软件具有类似“沙盒” 一样的功能，能够将可疑的软件通过 隔离运行的方式来进行预防

5、，但是这些手段都存在着一定的缺陷， 这就无法将所有的新型病毒都拒之门外，造成内部网络的病毒层出 不穷，而u基本所有的杀毒软件与防火墙都不能够很好的防范垃圾 邮件的传播。（三）局域网中的安全漏洞无法进行有效的统计在整个内网之中还没有能够完全统一各种应用，使得应用较多、 较繁杂，例如都有的如www服务、nt服务、文件传输、域名服务； 还有其他不同的单位所采用的数据库有可能就会不一样，如有的用 的是sqlserver数据库，有的用的是oracle数据库；同时防火墙、 路由器也有可能采用的是不同的。任何一种应用都不可能是完全安 全的，都会存在一定的缺陷或漏洞，有的是常见的已经知道的，有 的则是还没有被

6、发现的。而且各种新的漏洞则有层出不穷。因此对 正内网进行漏洞扫描基本成为了一个重要的环节，但是现在的手段 却很难实现这一个功能。（四）对内网用户的监控手段不足当前，随着信息技术的进步，网络攻击手段也层出不穷，但是还 有很多都是来自于内部的攻击，有数据显示有网络攻击70%都是来 自于内部。从企业的网络安全部署来看，很多都是对外防御，很少 注意到内部安全，再加上内部人员大多数都缺少足够的信息安全意 识，而且内部人员对内部的情况也最清楚，这就让内部的攻击更容 易成功。对于现在的技术手段，如果是内部用户因为感染病毒而进 行了非主动性的对内网的用户进行了攻击，那么就很难找到这台带 毒计算机，如一台感染了

7、蠕虫病毒的机器，会不断的向局域网内发 包，但是用户却没有什么办法来确定是哪一台交换机的哪一个端 口。二、加强油山内网安全的措施（一）采用入侵检测系统虽然现在提倡使用入侵防御系统，但是入侵防御系统对于用户的 要求较高，需要用户能够分别出哪些程序与进程是无害的。而油田 局域网内的大多数用户并没有这个能力。因此应该在核心机上添加 入侵检测系统，对于入侵检测系统所捕获的数据自有专业人士来进 行分析，找出其屮不正常的数据流。利用入侵检测系统当发现网络 违规行为和未授权的网络访问时，入侵检测系统中一般都有相应的 安全策略来对不同的情况进行响应，而且用户还能够自定义自己需 耍的安全策略。防火墙与入侵检测系统

8、之间通过联动协议能够更好 的对攻击进行防御，例如入侵检测系统通知防火墙拒绝此攻击，并 且禁止源地址的继续访问。这样两者之间能够有效的互补不足。（二）防火墙之后串联防毒网关，增强病毒查杀与垃圾邮件过滤 功能防毒网关在病毒杀除、关键字过滤（如色情、反动相关的字词）、 垃圾邮件阻止等方面有着较强的功能，能有效的弥补杀毒软件与防 火墙的不足，同时防毒网关还具有部分防火墙的功能，同时还能够 xj- vlan进行划分。防壽网关会对进出网络内部的数据进行检测， 并对http、ftp、smtp> imap这四种协议的数据进行扫描，如果发 现病毒就会采取相应的措施，例如隔离或者查杀。而且防毒网关还 具有垃

9、圾邮件的阻止功能也让油田内网免受垃圾邮件的干扰。（三）应用漏洞扫描系统，规范各种应用就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技 术，能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十 分先进，但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注 意这样儿个标准：（1）必须要通过国家相应的权威认证，冃前主要 有这些组织的认证，公安部信息安全产品测评屮心、国家信息安全 产品测评中心、解放军安全产品测评中心、国家保密局测评认证中 心；(2)漏洞扫描系统的最新漏洞数量与升级速度，非专业的人员 也要能够容易掌握系统的升级方法与漏洞更新方法；(3)漏洞扫描 系统本身的安全性能，对于漏洞扫描系统本身的抗攻击能力与安全 性必须耍进行考查、确定；(4)是否支持分布式扫描，扫描系统必 须要具有灵活、携带方便、穿透防火墙的特性，如果扫描所发出的 数据包当中的一部分被路由器、防火墙过滤，那么将会降低扫描的 准确性。同时还必须要对各种应用进行进一步的规范，例如数据库，可以 考虑是否能够采用同一种数据库，防火墙与网关是否可以考虑统一 采购同一种产品。三、结语信息化建设推动了油山的发展，但是由此带来的内网安全问题也 比较突出。内网安全问题严重的甚至会影响到油ffl的正常生产的进 行，为油山带来巨大的损