淺析油田局域網安全防護的有效性

云曉龍

【摘 要】隨著油田數字化和信息化建設的飛速發展，油田局域網建設日臻完善，不僅有線網絡的規模在不斷擴大，而且無線網絡在各項會議、項目建設中的應用也越來越廣泛，內外網之間的信息交互日益頻繁，給油田各項工作提供了極大的便捷，但隨之而來的安全隱患和潛在攻擊威脅也給油田正常的生產和運行敲響了警鐘。為此，本文深度剖析了油田局域網面臨的常見攻擊和安全管理存在的問題并提出對策。

【關鍵詞】油田 局域網 安全

【中圖分類號】TE144【文獻標識碼】A【文章編號】1672-5158（2013）07-0277-01

1 前言

隨著網絡技術的發展和信息網絡應用的普及，油田局域網建設業已成為油田實現科學管理自動化、信息化、智能化必不可少的關鍵環節。同時由于油田局域網具有應用系統多、重要數據多的顯著特點，在油田內網中包含的經濟利益越來越大，商業機密以及用戶隱私也越來越多，因而面臨的安全威脅也在不斷擴大，為油田的信息安全與安全生產帶來了巨大的挑戰，提升油田局域網安全防護工作的有效性已迫在眉睫。

2 信息安全及油田局域網安全防護的內涵

網絡信息安全是指計算機網絡的硬件不會遭到破壞、程序不會被篡改并且數據不會被泄露，從而確保計算機網絡得以持續、穩定、可靠地運行，實現有效阻止一切網絡攻擊的技術目標和建設優良網絡系統運行維護的管理目標?；诖?，油田局域網信息安全防護就是要采取有效的技術手段和管理手段防止油田各級單位計算機、服務器等網絡設備免遭破壞，防止財務集成平臺、勘探開發管理系統、生產運行平臺、ERP等各類網絡應用系統免遭侵入而導致程序被篡改，保護油田局域網內數據不被盜取。

3 油田局域網潛在的網絡攻擊隱患

通常威脅網絡信息安全的網絡攻擊都是針對于安全漏洞和系統缺陷而對IP地址發起的攻擊，例如查找系統漏洞和后門、掃描端口等等。目前油田局域網和外網的交互過程中潛在如下三種網絡攻擊隱患：

3.1利用型攻擊

利用型攻擊是目前較為常見也是較為直接的一種攻擊方式，通常都是網絡攻擊者試圖直接侵入開放的無監控的Internet網絡，進行破壞系統、竊取數據或者盜用特權的活動，從而影響網絡正常運行甚至癱瘓。

3.2 假消息攻擊

對那些利用缺乏安全措施的TCP/IP協議進行數據傳輸的網絡展開攻擊或者通過偽造假消息的方式對缺乏安全保護措施的網絡進行攻擊，從而竊取電子郵件中傳輸的重要信息。通常采取如下兩種手段：

（1）DNS高速緩存污染：DNS服務器與其他名稱服務器交換信息的時候并不進行身份驗證，這就使得攻擊者可以將不正確的信息摻進來并把用戶引向他自己的主機。

（2）偽造電子郵件：由于SMTP并不對郵件的發送者的身份進行鑒定，因此攻擊者可以對你的內部客戶偽造電子郵件，聲稱是某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。

3.3 病毒木馬攻擊

通過傳播病毒使缺乏安全措施的Internet網絡上的用戶感染進而破壞網絡系統、竊取數據和信息，最為常見的有腳本侵入與Active X跨站攻擊。例如，一些惡意網頁利用瀏覽器或操作系統方面的安全缺陷，通過執行嵌入在網頁內的 Java Applet小應用程序、Java ScriPt腳本語言程序、VBSCriPt腳本或Active X控件等自動執行的代碼程序，強行修改用戶操作系統的注冊表或運行用戶本地程序，從而達到破壞數據，非法控制系統資源、感染木馬程序甚至格式化硬盤等目的。

4 油田局域網安全管理存在的問題

目前油田局域網安全管理還存在如下兩大問題，導致不能對上述各類型網絡攻擊的安全防護有效性不高。

4.1外來入侵不能快速發現并監控

目前許多油田并未對下屬各級單位配備統一的防火墻和殺毒軟件并為其購買使用許可證或激活碼，從而導致油田局域網各用戶端使用的防火墻五花八門，而且大部分用戶都在使用免費版或者試用版，并未激活正式版本，從而導致防火墻和殺毒軟件的病毒庫和木馬庫得不到及時更新，這在當前新病毒、木馬滋生的網絡環境下，難以對新出現的網絡安全風險進行有效防火。不僅如此，黑客采用的新型網絡攻擊手法也很容易將陳舊防火墻存在的漏洞攻破，甚至手段高明的黑客直接就藏匿在防火墻之內，難

以被發現，進而導致油田局域網遭受的外來入侵不能快速發現并監控。

4.2 不能嚴格的控制網絡內部用戶

盡管油田局域網面臨的互聯網攻擊方法越來越呈現多樣化的趨勢，但根據近年來各油田信息中心的統計數據顯示，油田局域網直接遭受來自于外網的攻擊的事件仍占少數，而來自內網的網絡攻擊占比則高達85%。究其根源，這主要是由于目前各油田無論采用的防護軟件還是管理部署等安全防護工作大都以外部防護為重點，不能全面兼顧內部防御。加之下屬各級單位用戶安全防護意識較差，內網用戶計算機感染病毒或木馬的幾率極高，且一旦感染后便會迅速在內網進行傳播并不停地攻擊局域網，從而使油田局域網安全防護難以確定病毒的源頭。

5 提升油田局域網安全防護有效性的途徑

從上述分析可以看出，提升油田局域網安全防護有效性就必須著眼于從技術層面防護網絡攻擊和從管理層面健全安全防護工作體系兩方面入手，既要提升安全防水技術水平，又要解決安全管理中的不足。

5.1 加大安防資金投入，開發油田統一的安全防護網絡

油田企業在資金支持方面具有其他企業無可比擬的優勢，信息化網絡建設所需資金對于資金實力雄厚的油田企業來說僅為滄海一粟，因而油田企業可以加大安全資金投入，聘請實力雄厚的病毒防護公司和軟件公司為油田開發一套全面涵蓋防病毒系統、防火墻、入侵檢測、認證加密、操作系統安全使用和采用VPN （虛擬專用網）等高安全性策略，且適用于油田的專有安全防護網絡系統，將其統一配備至油田企業下屬各單位，并為每一個用戶端設立獨有的用戶識別號，將進入電腦的 Vlan 有秩序的進行劃分并展開病毒查殺、過濾信息（主要為情色、反動言論）和阻礙垃圾郵件等防護工作，同時通過掃描HTTP、FTP、SMTP、IMAP 的協議數據來實時監控出入局域網內網的數據信息，一旦發現外來入侵者侵入某用戶端或者某用戶端計算機被感染，防護系統便可以將專有的用戶端識別碼發送至信息中心，這樣便可以快速鎖定病毒的源頭，采取有效控制措施，防止在油田局域網快速傳播。

5.2 健全安防管理體系，提升油田網絡全面安全管理水平

首先，油田應成立以主管領導、網絡管理員、安全操作員、安全專家等人員組成的多級網絡安全管理專有機構。這是安全保障工作得以有效落實的前提保障。

其次，要完善各項有關設備和系統的使用、運行、管理和維護的網絡安全制度，例如，對無線、有線連接的電腦及設備進行備案，明文指定 IP地址，進行 MAC 綁定認證，嚴禁使用人更改分配的固定 IP 地址，嚴禁私自裝拆網絡設備等；同時還要制定企業安全標準和安全應急方案，根據自身的實際情況選擇實施和維護較為有效地信息安全管理體系，從而建立一套適合企業本身的風險管理流程。

最后，還要通過加強宣傳增加職工的安全和遵紀守法意識，讓廣大職工自覺地參與到安全保護中來，認真執行安全策略，減少安全漏洞。

總而言之，隨著網絡信息技術的不斷發展和互聯網應用在油田的不斷普及，網絡信息安全問題將成為油田數字化建設進程中最為關注的焦點，只有對不斷更新變化的網絡攻擊和安全管理存在的問題有一個清晰的認識，進而采取有效的防范對策，才能真正提升油田網絡信息安全防護的有效性，避免油田各大應用系統被破壞、程序被篡改、信息被竊取，推動油田局域網系統更加安全、穩固，為油田的發展和建設做出更大貢獻！

參考文獻

[1] 張宇.企業網防火墻的設計與實現[J].中小企業管理與科技.2007年第11期

[2] 吳忠坤.家庭網絡安全防范技術與管理手段探討[J].科技信息. 2009年第5期