新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 石化企業(yè)網(wǎng)絡(luò)安全及其解決方案

石化企業(yè)網(wǎng)絡(luò)安全及其解決方案

作者: 時(shí)間:2016-12-21 來(lái)源:網(wǎng)絡(luò) 收藏

  隨著企業(yè)信息化進(jìn)程的不斷發(fā)展,網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競(jìng)爭(zhēng)力的有力手段。目前,石化企業(yè)網(wǎng)絡(luò)各類(lèi)系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng)、電子郵件系統(tǒng)以及OA協(xié)同辦公系統(tǒng)等都相繼上線運(yùn)行,信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式,實(shí)現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時(shí),網(wǎng)絡(luò)安全問(wèn)題13益突出,各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮.病毒威脅無(wú)處不在。

本文引用地址:http://m.butianyuan.cn/article/201612/332315.htm

  因此,了解網(wǎng)絡(luò)安全,做好防范措施,保證系統(tǒng)安全可靠地運(yùn)行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能.也是企業(yè)本質(zhì)安全的重要一環(huán)。

  1石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

  石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī),通過(guò)內(nèi)部網(wǎng)相互連接,經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中。各計(jì)算機(jī)處在同一網(wǎng)段或通過(guò)Vlan(虛擬網(wǎng)絡(luò))技術(shù)把企業(yè)不同業(yè)務(wù)部門(mén)相互隔離。

  2企業(yè)網(wǎng)絡(luò)安全概述

  企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分,網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染,更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)。企業(yè)網(wǎng)絡(luò)安全隱患主要如下:

  1)操作系統(tǒng)本身存在的安全問(wèn)題
  2)病毒、木馬和惡意軟件的入侵
  3)網(wǎng)絡(luò)黑客的攻擊
  4)管理及操作人員安全知識(shí)缺乏
  5)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞

  針對(duì)上述安全隱患,可采取安裝專(zhuān)業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng),同時(shí)加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理;配置好防火墻過(guò)濾策略,及時(shí)安裝系統(tǒng)安全補(bǔ)丁;在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、入侵檢測(cè)系統(tǒng),配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

  3網(wǎng)絡(luò)安全解決方案

  一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面,主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

  3.1物理安全

  物理安全主要指環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等,包括機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

  主要考慮:自然災(zāi)害、物理?yè)p壞和設(shè)備故障;選用合適的傳輸介質(zhì);供電安全可靠及網(wǎng)絡(luò)防雷等。

  3.2網(wǎng)絡(luò)安全

  石化企業(yè)內(nèi)部網(wǎng)絡(luò),主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等,并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)及Internet互連。

  3.2.1 VLAN技術(shù)

  VLAN即虛擬局域網(wǎng)。是通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。

  借助VLAN技術(shù),可將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

  3.2.2防火墻技術(shù)

  1)防火墻體系結(jié)構(gòu)

 ?、匐p重宿主主機(jī)體系結(jié)構(gòu)

  防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體,執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

  ②被屏蔽主機(jī)體系結(jié)構(gòu)

  被屏蔽主機(jī)體系結(jié)構(gòu)是指通過(guò)一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻.強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連.而不讓其與內(nèi)部主機(jī)相連。

  ③被屏蔽子網(wǎng)體系結(jié)構(gòu)

  被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽路由器,位于堡壘主機(jī)的兩端,一端連接內(nèi)網(wǎng),一端連接外網(wǎng)。為了入侵這種類(lèi)型的體系結(jié)構(gòu)。入侵者必須穿透兩個(gè)屏蔽路由器。

  2)企業(yè)防火墻應(yīng)用

 ?、倨髽I(yè)網(wǎng)絡(luò)體系中的三個(gè)區(qū)域

  邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過(guò)路由器直接面向Internet,通過(guò)外圍防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到外圍網(wǎng)絡(luò)。

  外圍網(wǎng)絡(luò)。即DMZ,將用戶連接到Web服務(wù)器或其他服務(wù)器,Web服務(wù)器通過(guò)內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

  內(nèi)部網(wǎng)絡(luò)。連接各個(gè)內(nèi)部服務(wù)器(如企業(yè)OA服務(wù)器,ERP服務(wù)器等)和內(nèi)部用戶。

 ?、诜阑饓捌涔δ?/p>

  在企業(yè)網(wǎng)絡(luò)中。常常有兩個(gè)不同的防火墻:外圍防火墻和內(nèi)部防火墻。雖然任務(wù)相似,但側(cè)重點(diǎn)不同,外圍防火墻主要提供對(duì)不受信任的外部用戶的限制,而內(nèi)部防火墻主要防止外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

  在以上3個(gè)區(qū)域中,雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分,但他們的安全級(jí)別不同,對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò),一般禁止所有來(lái)自Intemet用戶的訪問(wèn);而企業(yè)DMZ區(qū),限制則沒(méi)有那么嚴(yán)格。

  3.2.3VPN技術(shù)

  VPN(Virtual Private Network)虛擬專(zhuān)用網(wǎng)絡(luò).一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式。位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專(zhuān)線,但它并不需要真正地去鋪設(shè)光纜之類(lèi)的物理線路。

  企業(yè)用戶采用VPN技術(shù)來(lái)構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng),與Internet進(jìn)行隔離,控制內(nèi)網(wǎng)與Internet的相互訪問(wèn)。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間,將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ 口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離,禁止外網(wǎng)直接訪問(wèn)內(nèi)網(wǎng),控制內(nèi)網(wǎng)的對(duì)外訪問(wèn)。

  3.3應(yīng)用系統(tǒng)安全

  企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制,對(duì)安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數(shù)據(jù)庫(kù)系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

  病毒防護(hù)是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分,企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí),應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

  在網(wǎng)絡(luò)骨干接入處。安裝防毒墻,對(duì)主要網(wǎng)絡(luò)協(xié)議(SMTP、FTP、Http)進(jìn)行殺毒處理;在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品,各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端;對(duì)郵件系統(tǒng),可采取安裝專(zhuān)用郵件殺毒產(chǎn)品。

  4結(jié)束語(yǔ)

  本文從網(wǎng)絡(luò)安全及其建設(shè)原則進(jìn)行了論述。對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。石化企業(yè)日新月異,網(wǎng)絡(luò)安全管理任重道遠(yuǎn),網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè),確保網(wǎng)絡(luò)安全運(yùn)行勢(shì)在必行。



評(píng)論


技術(shù)專(zhuān)區(qū)

關(guān)閉