石化企業網絡安全及其解決方案

　　隨著企業信息化進程的不斷發展，網絡已成為提高企業生產效率和企業競爭力的有力手段。目前，石化企業網絡各類系統諸如ERP系統、原油管理信息系統、電子郵件系統以及OA協同辦公系統等都相繼上線運行，信息化的發展極大地改變了企業傳統的管理模式，實現了企業內的資源共享。與此同時，網絡安全問題13益突出，各種針對網絡協議和應用程序漏洞的新型攻擊層出不窮．病毒威脅無處不在。

　　因此，了解網絡安全，做好防范措施，保證系統安全可靠地運行已成為企業網絡系統的基本職能．也是企業本質安全的重要一環。

　　1石化企業網絡安全現狀

　　石化企業局域網一般包含Web、Mail等服務器和辦公區客戶機，通過內部網相互連接，經防火墻與外網互聯。在內部網絡中。各計算機處在同一網段或通過Vlan(虛擬網絡)技術把企業不同業務部門相互隔離。

　　2企業網絡安全概述

　　企業網絡安全隱患的來源有內、外網之分，網絡安全系統所要防范的不僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問。企業網絡安全隱患主要如下：

　　1)操作系統本身存在的安全問題
　　2)病毒、木馬和惡意軟件的入侵
　　3)網絡黑客的攻擊
　　4)管理及操作人員安全知識缺乏
　　5)備份數據和存儲媒體的損壞

　　針對上述安全隱患，可采取安裝專業的網絡版病毒防護系統，同時加強內部網絡的安全管理；配置好防火墻過濾策略，及時安裝系統安全補丁；在內、外網之間安裝網絡掃描檢測、入侵檢測系統，配置網絡安全隔離系統等。

　　3網絡安全解決方案

　　一個網絡系統的安全建設通常包含許多方面，主要為物理安全、數據安全、網絡安全、系統安全等。

　　3．1物理安全

　　物理安全主要指環境、場地和設備的安全及物理訪問控制和應急處置計劃等，包括機房環境安全、通信線路安全、設備安全、電源安全。

　　主要考慮：自然災害、物理損壞和設備故障；選用合適的傳輸介質；供電安全可靠及網絡防雷等。

　　3．2網絡安全

　　石化企業內部網絡，主要運行的是內部辦公、業務系統等，并與企業系統內部的上、下級機構網絡及Internet互連。

　　3．2．1 VLAN技術

　　VLAN即虛擬局域網。是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。

　　借助VLAN技術，可將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

　　3．2．2防火墻技術

　　1)防火墻體系結構

　　①雙重宿主主機體系結構

　　防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體，執行分離外部網絡和內部網絡的任務。

　　②被屏蔽主機體系結構

　　被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻．強迫所有的外部主機與一個堡壘主機相連．而不讓其與內部主機相連。

　　③被屏蔽子網體系結構

　　被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內網，一端連接外網。為了入侵這種類型的體系結構。入侵者必須穿透兩個屏蔽路由器。

　　2)企業防火墻應用

　　①企業網絡體系中的三個區域

　　邊界網絡。此網絡通過路由器直接面向Internet，通過外圍防火墻將數據轉發到外圍網絡。

　　外圍網絡。即DMZ，將用戶連接到Web服務器或其他服務器，Web服務器通過內部防火墻連接到內部網絡。

　　內部網絡。連接各個內部服務器(如企業OA服務器，ERP服務器等)和內部用戶。

　　②防火墻及其功能

　　在企業網絡中。常常有兩個不同的防火墻：外圍防火墻和內部防火墻。雖然任務相似，但側重點不同，外圍防火墻主要提供對不受信任的外部用戶的限制，而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。

　　在以上3個區域中，雖然內部網絡和DMZ都屬于企業內部網絡的一部分，但他們的安全級別不同，對于要保護的大部分內部網絡，一般禁止所有來自Intemet用戶的訪問；而企業DMZ區，限制則沒有那么嚴格。

　　3．2．3VPN技術

　　VPN(Virtual Private Network)虛擬專用網絡．一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業內部網之間就好像架設了一條專線，但它并不需要真正地去鋪設光纜之類的物理線路。

　　企業用戶采用VPN技術來構建其跨越公共網絡的內聯網系統，與Internet進行隔離，控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間，將對外服務器放置于VPN設備的DMZ 口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問。

　　3．3應用系統安全

　　企業應用系統安全包括兩方面。一方面涉及用戶進入系統的身份鑒別與控制，對安全相關操作進行審核等。另一方面涉及各種數據庫系統、Web、FTP服務、E-MAIL等

　　病毒防護是企業應用系統安全的重要組成部分，企業在構建網絡防病毒系統時，應全方位地布置企業防毒產品。

　　在網絡骨干接入處。安裝防毒墻，對主要網絡協議(SMTP、FTP、Http)進行殺毒處理；在服務器上安裝單獨的服務器殺毒產品，各用戶安裝網絡版殺毒軟件客戶端；對郵件系統，可采取安裝專用郵件殺毒產品。

　　4結束語

　　本文從網絡安全及其建設原則進行了論述。對企業網絡安全建設的解決方案進行了探討和總結。石化企業日新月異，網絡安全管理任重道遠，網絡安全已成為企業安全的重要組成部分、甚而成為企業的本質安全。加強網絡安全建設，確保網絡安全運行勢在必行。