1. 作业区网络现状
大庆油田采油二厂作业区计算机网络安全存在如下问题: 网络病毒泛滥、来自黑客攻击、信息丢失、服务被拒绝等。另外作业区采用的是对等网网络系统, 系统漏洞补丁不能自动下载、分发、安装, 使用的是固定ip 地址, 更容易受到攻击。为此确定了以下几个必须考虑的安全防护要点: ①采用域管理网络系统方式; ②由于网络协议本身以及网络产品设计上的缺陷, 使病毒及非法访问有了可乘之机, 并且新的漏洞不断被发现, 评估网络安全性可提高信息网络抗风险能力; ③保证每台上网的计算机都安装防病毒软件, 是计算机网络安全工作的重要环节之一; ④作业区内部网络与外部网络之间安置防火墙进行有效地隔离是必要的; ⑤增加对网络的监控机制可以规范网络访问行为, 进一步完善网络安全策略, 提高网络安全防御能力。
2. 网络安全整体规划
(1) 网络安全目标: ①防止病毒、黑客对网络系统的破坏; ②保证网络数据的安全性, 将网络系统风险降到最低; ③在异常访问情况下, 保证系统正常运行; ④在网络管理传输时数据不被修改和不被窃取; ⑤规范网络访问行为, 正确确定安全策略及科学的安全风险评估; ⑥保证系统满足提供其它增值服务的需要; ⑦为客户不间断(7 ×24) 、全天候、多方位的满意服务。WWW.11665.COm
(2) 安全方案设计原则。从现网络系统的整体角度考虑安全项目, 制定有效、可行的安全措施,建立完整的网络安全防范体系。
3. 网络安全方案
网络安全评估方案针对作业区目前的网络结构和计算机系统分布, 实施全面的网络安全评估。
通过漏洞扫描、系统评估等技术定期对网络硬件系统、网络软件平台、网络数据、网络通信及网络管理等5 个层次进行全面的安全隐患和脆弱性分析, 全面给出每个层次的安全隐患、脆弱性报告以及安全性整改建议, 为信息安全决策和管理提供依据。
(1) 网络防病毒方案。采用网络版防病毒软件, 保证病毒库及时更新, 从而防病毒更有效。
(2) 防火墙隔离方案。边界采用高速硬件防火墙, 防止来自外部的非法入侵、攻击。
(3) 网络入侵检测系统。入侵检测机制能够对网络系统各主要环节进行实时检测, 以便能及时发现或识别攻击者的企图。当发现异常时, 网络系统及时做出适当的响应, 通知网络管理员。在作业区网络与internet 网络之间设置入侵检测系统, 它与防火墙联动并行接入网络中, 监测来自internet 、作业区内网的攻击行为。当有入侵行为时, 主动通知防火墙阻断攻击源。
(4) 网络管理系统及系统结构。采用域管理模式, 使管理员可以全网监视, 也可远程实时管理网络, 将固定ip 改为虚拟ip , 实现系统漏洞补丁的自动下载、分发及安装, 从而保证网络内计算机系统的及时更新。
(5) 网络安全服务体系方案。通过网络安全公司工程师对网络安全风险评估结果和建设性意见,对网络进行脆弱性修补, 以提高作业区的网络安全: ①对实体的修补和改造; ②对平台的修补和改造; ③对数据安全性的修补和改造; ④对通信安全性的修补和改造; ⑤对管理机制的完善。网络安全跟踪服务: ①全程跟踪服务; ②7 ×24 小时技术支持服务; ③重大疫情的公告; ④紧急救援服务; ⑤定期检测和审计。
网络安全信息服务: 网络安全公司为作业区网络实时提供世界上最新出现的安全漏洞和安全升级、病毒疫情通告, 保证作业区网络安全体系达到与当月世界最新安全技术的同步。
网络安全培训服务: 通过专业的培训将使作业区网络管理人员对反病毒、反黑客的意识和产品的使用达到一个全新的层次。
(6) 发现病毒及恶意攻击的处理方案。通过入侵检测系统, 一旦发现网络中有异常信息传递, 将采取以下方案处理: ①立即断掉发出异常信息的计算机网络连接; ②采用专用软件对异常信息进行分析; ③是病毒的用病毒清杀工具清除病毒; ④是恶意攻击破坏的, 立即上报上级业务主管部门处理。
该网络安全整体解决方案的制订, 吸收了目前世界上网络安全最新思想, 并结合了作业区网络安全的实际情况及自己的病毒防治经验, 应该是切实可行的。