石化企业网络安全及其解决方案

摘要：企业网络安全是一项系统工程。作为网络管理者或建设者，既要考虑到外部网络威胁，又要考虑内部网络和网络管理本身的安全隐患。该文从企业角度描述了网络存在的主要安全隐患及网络安全的解决方案。

关键词：网络安全；网络管理；防护；防火墙

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2011)14-3302-02

随着企业信息化进程的不断发展，网络已成为提高企业生产效率和企业竞争力的有力手段。目前，石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行，信息化的发展极大地改变了企业传统的管理模式，实现了企业内的资源共享。与此同时，网络安全问题日益突出，各种针对网络协议和应用程序漏洞的新型攻击层出不穷，病毒威胁无处不在。

因此，了解网络安全，做好防范措施，保证系统安全可靠地运行已成为企业网络系统的基本职能，也是企业本质安全的重要一环。

1 石化企业网络安全现状

石化企业局域网一般包含Web、Mail等服务器和办公区客户机，通过内部网相互连接，经防火墙与外网互联。在内部网络中，各计算机处在同一网段或通过Vlan（虚拟网络）技术把企业不同业务部门相互隔离。

2 企业网络安全概述

企业网络安全隐患的来源有内、外网之分，网络安全系统所要防范的不仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下：

1) 操作系统本身存在的安全问题

2) 病毒、木马和恶意软件的入侵

3) 网络黑客的攻击

4) 管理及操作人员安全知识缺乏

5) 备份数据和存储媒体的损坏

针对上述安全隐患，可采取安装专业的网络版病毒防护系统，同时加强内部网络的安全管理；配置好防火墙过滤策略，及时安装系统安全补丁；在内、外网之间安装网络扫描检测、入侵检测系统，配置网络安全隔离系统等。

3 网络安全解决方案

一个网络系统的安全建设通常包含许多方面，主要为物理安全、数据安全、网络安全、系统安全等。

3.1 物理安全

物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等，包括机房环境安全、通信线路安全、设备安全、电源安全。

主要考虑：自然灾害、物理损坏和设备故障；选用合适的传输介质；供电安全可靠及网络防雷等。

3.2 网络安全

石化企业内部网络，主要运行的是内部办公、业务系统等，并与企业系统内部的上、下级机构网络及Internet互连。

3.2.1 VLAN技术

VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。

借助VLAN技术，可将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便。一般分为：基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。

3.2.2 防火墙技术

1) 防火墙体系结构

① 双重宿主主机体系结构

防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体，执行分离外部网络和内部网络的任务。

② 被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，强迫所有的外部主机与一个堡垒主机相连，而不让其与内部主机相连。

③ 被屏蔽子网体系结构

被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。

2) 企业防火墙应用

① 企业网络体系中的三个区域

边界网络。此网络通过路由器直接面向Internet，通过防火墙将数据转发到网络。

网络。即DMZ，将用户连接到Web服务器或其他服务器，Web服务器通过内部防火墙连接到内部网络。

内部网络。连接各个内部服务器（如企业OA服务器，ERP服务器等）和内部用户。

② 防火墙及其功能

在企业网络中，常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似，但侧重点不同，防火墙主要提供对不受信任的外部用户的限制，而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。

在以上3个区域中，虽然内部网络和DMZ都属于企业内部网络的一部分，但他们的安全级别不同，对于要保护的大部分内部网络，一般禁止所有来自Internet用户的访问；而企业DMZ区，限制则没有那么严格。

3.2.3 VPN技术

VPN(Virtual Private Network)虚拟专用网络，一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线，但它并不需要真正地去铺设光缆之类的物理线路。

企业用户采用VPN技术来构建其跨越公共网络的内联网系统，与Internet进行隔离，控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间，将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问。

3.3 应用系统安全

企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制，对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等

病毒防护是企业应用系统安全的重要组成部分，企业在构建网络防病毒系统时，应全方位地布置企业防毒产品。

在网络骨干接入处，安装防毒墙，对主要网络协议（SMTP、FTP、HTTP）进行杀毒处理；在服务器上安装单独的服务器杀毒产品，各用户安装网络版杀毒软件客户端；对邮件系统，可采取安装专用邮件杀毒产品。

4 结束语

该文从网络安全及其建设原则进行了论述，对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异，网络安全管理任重道远，网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设，确保网络安全运行势在必行。

参考文献：

[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010．

[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007．

[3] 连业. 防火墙及其应用技术[M]. 北京:清华大学出版社,2005.

[4] 张常有. 网络安全体系结构[M]. 成都:电子科技大学出版社,2006.