下载文档原格式
石油企业网络信息安全现状及对策1. 引言1.1 石油企业面临的网络信息安全挑战石油企业作为国家经济的重要支柱和战略资源,承载着国家的能源安全和经济发展使命,其网络信息安全问题也日益凸显。
石油企业面临着来自内部和外部的多重网络信息安全挑战。
内部员工的意识不足和行为不规范容易导致信息泄露和数据破坏。
石油企业的信息系统架构复杂,存在着安全漏洞和隐患,容易受到黑客攻击。
外部环境中,网络病毒、木马和勒索软件的威胁不断增加,网络攻击手段不断更新,对石油企业的网络安全构成威胁。
国际间的网络战争也可能牵扯石油企业在使其成为网络安全的重要目标。
石油企业面临着复杂多变的网络信息安全挑战,对其网络安全的重视和提升已成为当务之急。
1.2 重视网络信息安全的重要性重视网络信息安全的重要性是石油企业在当前数字化时代面临的一个至关重要的议题。
随着信息技术的不断发展和网络的广泛应用,石油企业的网络系统正面临着越来越复杂和多样化的网络安全威胁。
网络信息安全问题不仅关系到石油企业的商业机密和核心技术,更关系到公司的声誉和客户的信任。
在今天的信息社会,石油企业已经将大量的业务活动和数据存储转移到了网络上,这为数据泄露、网络攻击和恶意软件的传播等威胁埋下了伏笔。
网络信息安全的重要性在于保障石油企业的核心资产和信息安全,确保业务正常运转,维护客户数据的隐私和保密性,以及避免可能导致的财务损失和声誉风险。
石油企业必须高度重视网络信息安全工作,加强网络安全意识的培训和教育,建立健全的网络安全管理体系,采取有效的措施保护企业的网络系统免受攻击和侵害。
只有全面重视网络信息安全,才能更好地应对日益严峻的网络安全挑战,确保石油企业的持续稳定发展。
2. 正文2.1 石油企业网络信息安全现状分析石油企业在数字化转型的进程中,网络信息安全问题成为一大隐患。
据统计,每年全球石油企业因网络攻击而导致的损失高达数十亿美元。
石油企业的网络信息安全现状存在以下几个主要问题:石油企业的网络系统庞大复杂,涉及到生产、仓储、销售等多个环节,各环节之间信息交互频繁,一旦出现安全漏洞,后果不堪设想。
第一章总则第一条为加强中石油网络安全管理,保障公司信息系统安全稳定运行,根据《中华人民共和国网络安全法》等相关法律法规,结合公司实际情况,制定本制度。
第二条本制度适用于中石油及其下属子公司、分支机构、项目等所有涉及信息系统的网络安全管理工作。
第三条网络安全管理工作应遵循以下原则:(一)安全与发展并重,确保公司信息系统安全稳定运行,促进公司业务发展;(二)预防为主,加强网络安全风险防范,降低安全事件发生概率;(三)分级分类,针对不同信息系统采取差异化安全措施;(四)全员参与,提高员工网络安全意识,共同维护公司网络安全。
第二章组织机构与职责第四条成立中石油网络安全领导小组,负责公司网络安全工作的组织、协调和监督。
第五条网络安全领导小组下设网络安全办公室,负责公司网络安全工作的具体实施。
第六条各级单位应设立网络安全管理部门,负责本单位网络安全工作的组织实施。
第七条各级网络安全管理部门职责:(一)贯彻落实公司网络安全管理制度,组织开展网络安全培训和宣传;(二)制定本单位网络安全管理制度,并组织实施;(三)组织开展网络安全检查,及时发现和整改网络安全问题;(四)建立健全网络安全事件应急预案,组织开展应急演练;(五)配合网络安全办公室开展网络安全工作。
第三章网络安全措施第八条网络安全建设:(一)加强网络安全基础设施建设,提高网络安全防护能力;(二)完善网络安全设备配置,确保网络安全设备正常运行;(三)加强网络安全漏洞管理,及时修复漏洞,降低安全风险。
第九条网络安全防护:(一)加强网络安全监测,实时发现网络攻击、恶意代码等安全威胁;(二)采取访问控制、数据加密、身份认证等措施,防止非法访问和数据泄露;(三)加强网络安全审计,跟踪网络安全事件,及时处置。
第十条网络安全事件处理:(一)建立健全网络安全事件报告、调查、处理、整改等制度;(二)及时上报网络安全事件,采取有效措施,防止事件扩大;(三)对网络安全事件进行总结分析,完善网络安全管理制度。
石化企业网络整体解决方案一、网络架构优化1.1网络拓扑结构我们需要对现有的网络拓扑结构进行梳理,确保每个部门、每个车间都能高效地接入网络。
采用星型拓扑结构,以核心交换机为中心,连接各个接入层交换机,再由接入层交换机连接到各个终端设备。
这样的结构简洁明了,便于管理和维护。
1.2网络设备升级1.3网络冗余设计为了保证网络的稳定性,我们需要对网络进行冗余设计。
关键设备采用双电源、双链路,确保在出现故障时,网络能够快速切换,不影响企业正常运行。
二、网络安全防护2.1防火墙部署在企业的网络边界部署防火墙,对进出企业网络的流量进行监控和过滤。
防止外部攻击者通过网络入侵企业内网,同时也防止内部敏感信息泄露。
2.2入侵检测系统部署入侵检测系统,实时监控网络流量,发现异常行为及时报警。
结合防火墙,形成一道坚实的防线。
2.3数据加密对于企业内部的敏感数据,采用加密技术进行保护。
确保数据在传输过程中不被窃取和篡改。
三、网络管理优化3.1网络监控采用专业的网络监控软件,实时监控网络运行状态。
发现网络拥堵、设备故障等问题,及时进行处理。
3.2故障排查建立完善的故障排查流程,当网络出现故障时,能够迅速定位问题,并及时解决。
3.3网络优化根据企业业务需求,定期对网络进行调整和优化,确保网络运行在最佳状态。
四、网络培训与维护4.1员工培训定期举办网络知识培训,提高员工对网络的认识和操作能力。
确保企业在网络方面的人力资源储备。
4.2网络维护建立专业的网络维护团队,负责日常网络维护工作。
定期检查网络设备,确保设备运行正常。
4.3技术支持与专业的网络技术公司合作,为企业提供技术支持。
在遇到技术难题时,能够迅速得到解决。
注意事项一:网络架构调整可能导致短期内的业务中断解决办法:在进行网络架构优化时,要精心规划实施步骤,尽量减少对现有业务的影响。
可以先在非高峰时段进行设备的更换和调试,确保新的网络架构在上线前经过充分的测试。
提前制定应急预案,一旦出现业务中断,能够迅速恢复服务。
XX公司广域网组网技术建议书(省内专线接入+VPN备份)目录第1章需求分析 (3)1.1 项目背景 (3)1.2 网络现状 (3)1.3 存在问题 (3)1.4 建设目标 (3)第2章网络建设原则 (4)第3章总体建设方案 (4)3.1 设备选型 (4)3.2 网络总体方案 (5)第4章需求实现 (5)4.1 专线接入 (5)4.2 VPN备份 (5)4.2.1 总部及分支VPN备份 (6)4.2.2 移动人员VPN接入 (6)4.3 产品配置 (6)第5章总体方案优势 (7)第6章产品简介 (8)第1章需求分析1.1 项目背景XX公司是广东省内一家主营电子制造的中小型企业。
目前包括广州总部和东莞、深圳及佛山的三个分公司。
公司总部大概有30多名员工,而其它三个分公司各有10名左右的员工。
1.2 网络现状XX公司目前仅在公司总部和三个分公司分别建立了局域网。
具体结构如下:广州总部以S3600为核心交换机,连接总部的30多台主机及服务器。
三个分公司均是在核心部署一台S3100作为核心交换机,连接多台主机。
1.3 存在问题目前,XX公司的整体网络存在的主要问题是现有网络功能单一,无法满足日益增长的业务需求。
目前建成的总部及分公司四处局域网,功能均只是简单的内部邮件交互、文件传输及打印机共享等简单的一些办公功能,作用有限。
而目前随着业务的不断发展,公司对于数据的远程传输及共享需求越来越明显。
●各地分公司每月需要将销售数据、产品需求等一些较为敏感的数据发送到总部,以便总部进行统筹。
●总部则需要将销售计划、产品生产计划等数据下发到各分公司,以便更好地指导其销售及生产。
●出差人员需要随时随地访问总部及分公司各业务服务器,以便实时获取业务相关信息。
1.4 建设目标在保证原有网络拓朴结构基本不变的前提下,以最小的投资实现如下功能:●租用专线,实现总部与各分公司的互联。
●租用ISP提供的线路,建立VPN网络,进行备份。
油田企业网络安全问题及防火墙安全防护发布时间:2022-07-13T06:24:20.023Z 来源:《中国科技信息》2022年5期3月作者:宋可新[导读] 随着我国科技的不断发展进步,防火墙技术已经成为了计算机安全防护中一种最常用、最基础的技术宋可新大庆油田消防支队通信大队,163000摘要:随着我国科技的不断发展进步,防火墙技术已经成为了计算机安全防护中一种最常用、最基础的技术。
防火墙技术在油田企业中是保障网络安全的重要措施之一,同时也有效的解决了油田企业中可能存在的网络安全问题的有效技术之一。
经过我们对目前油田企业防火墙技术的应用现状分析,油田企业网络安全存在一定的问题,需要我们高度的重视,根据实际情况制定有效的预防措施,保障我国油田企业的网络安全。
关键词:油田企业;网络安全;防火墙技术;油田企业是我国国有企业的重要组成之一,石油资源是促进我国社会经济发展的重要能源之一,因此油田企业的网络安全与油田企业的生产安全、管理安全有着直接的影响,同时也影响着我国经济发展水平。
本文主要阐述了油田企业网络安全问题产生的原因,制定了科学合理的防火墙防护策略。
1 网络安全问题产生的原因1.1 网络技术瓶颈我国油田企业的分布比较分散,每个油田在网络建设上都存在一定的差异,一些功能上线的时间也各不相同,一些油田使用的网络设备在技术水平上也参差不齐,一些技术水平比较落后的油田企业网络受到病毒和黑客入侵的几率就比较高。
目前我国的计算机网络安全得到了一定的发展和进步,但是网络安全防护技术总是比较被动,一般都是出现了相应的攻击技术后才采取相应的补救措施,造成这种问题的主要原因就是网络安全防护技术出现了瓶颈,不能在短时间内克服。
1.2 网络管理水平不高计算机网络安全与计算机网络管理水平有着直接的影响,网路安全问题从技术的角度上进行分析,是不可能完全避免的,但是只要通过先进的网络管理水平,就能最大程度的避免油田企业出现网络安全问题,同时也能最大程度的降低油田企业受到病毒及黑客入侵的几率。
上海XX公司Riverbed广域网数据优化方案二〇〇八年九月1. 什么是广域网数据服务-WAN Data Service众所周知,由于互联网的普及,TCP/IP已经成为一个被广泛采用的网络协议。
越来越多的公司业务已经离不开基于TCP/IP网络而开发的应用。
随着公司业务的发展和全球化的趋势,公司会在总部以外的地区和国家建立更多的远程办事机构。
这样一来,公司的业务系统就必须运行在广域的TCP/IP网络之上。
我们知道,相比局域网络,广域网络的带宽只有1/100或更少,而延迟却增加100倍或更多。
在局域网络上运行的非常好的应用到广域网络上运行时,一定会碰到效率极其低下等问题,会严重影响企业的生产效率。
在过去的时间里,好多网络厂商已经意识到该问题,提出了好多解决方案。
比如采用压缩技术,流量管理技术,缓存技术等。
所有这些技术只能在某一方面对广域网络进行加速,由于没有涉及TCP/IP的本质,使用效果不佳且带有相当大的局限性。
由于广域网存在的传输性能问题,为了提高在分支机构工作的员工的应用响应速度,许多的大型客户往往在分支机构部署本地的文件服务器,打印服务器和邮件服务器。
这样虽然暂时解决了远程客户的应用响应速度,但是也造成了远程机构IT基础架构的复杂性,大大增加了设备成本和人员维护成本。
广域数据服务(WAN Data Service)作为一个新兴的技术领域,为克服跨广域网应用性能瓶颈带来了一种创新的方法。
它可以加速应用系统在广域网上的响应速度,提供高效的带宽利用率并且在广域网环境中实现数据大集中。
广域数据服务解决方案“让广域网像局域网一样”实际上有两方面的意思:1) 使广域网的性能具有质的飞跃,尤其针对那些在局域网上可以正常运行,但一到广域网就受到极大影响的应用和协议。
2) 能处理和对付横跨分布式企业网络的范围广泛的应用和协议。
对广域网进行全方位改进的解决方案我们称之为广域数据服务(WDS)。
广域二字不单单指的是广域网,它还意味着WDS所应用的范围非常广泛,以及WDS对各种各样瓶颈问题所进行的全方位改进。
公司网络安全方案设计网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断.下面是有关公司网络安全的方案设计,供大家参考!公司网络安全方案设计【1】网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
1.网络隔离与访问控制。
通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞.通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3.入侵检测与响应.通过对特定网络、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动。
4.加密保护。
主动的加密通信,可使攻击者不能了解、修改敏感信息或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5.备份和恢复。
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6.监控与审计。
在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统.一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。
在利用公共网络与外部进行连接的“内"外网络边界处使用防火墙,为“内部"网络与“外部"网络划定安全边界.在网络内部进行各种连接的地方使用带防火墙功能的VPN设备,在进行“内"外网络的隔离的同时建立网络之间的安全通道。
1.防火墙应具备如下功能:使用NAT把DMZ区的服务器和内部端口影射到Firewall 的对外端口;允许Internet公网用户访问到DMZ区的应用服务:http、ftp、smtp、dns等;允许DMZ区内的工作站与应用服务器访问Internet公网;允许内部用户访问DMZ的应用服务:http、ftp、smtp、dns、pop3、https;允许内部网用户通过代理访问Internet公网;禁止Internet公网用户进入内部网络和非法访问DMZ 区应用服务器;禁止DMZ区的公开服务器访问内部网络;防止来自Internet的DOS一类的攻击;能接受入侵检测的联动要求,可实现对实时入侵的策略响应;对所保护的主机的常用应用通信协议能够替换服务器的Banner信息,防止恶意用户信息刺探;提供日志报表的自动生成功能,便于事件的分析;提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态,通信数据流量。
石油企业网络信息安全现状及对策石油企业在当今社会扮演着非常重要的角色,但是随着信息技术的发展,网络信息安全问题也成为了石油企业面临的一个重要挑战。
石油企业虽然在信息化建设方面有了很大的进步,但是由于网络信息安全意识不足、技术水平不高以及外部安全环境的不断变化等因素,网络信息安全问题依然是石油企业面临的严峻挑战。
本文将针对石油企业网络信息安全的现状进行分析,并提出相应的对策建议,以期为石油企业网络信息安全的提升提供一些参考和思路。
1.安全意识不足石油企业在信息化建设过程中,往往忽视了网络信息安全的重要性,导致员工的安全意识不足。
许多员工对安全漏洞、网络攻击等安全问题缺乏足够的重视,造成了安全隐患的存在。
2.技术水平落后石油企业大多数情况下专注于业务开展和传统技术的发展,对于前沿的网络信息安全技术了解不足,技术水平相对滞后。
在面对各种网络威胁时,石油企业往往无法做出及时有效的反应。
3.安全设备不完善石油企业的安全设备配置不完善,网络防护措施不到位,容易受到网络攻击的威胁。
缺乏专业的安全设备和技术人员,导致了网络信息安全的薄弱环节。
4.外部安全环境不稳定在当今信息化高速发展的背景下,网络安全形势日益复杂,各种新型威胁不断涌现,网络攻击手段也变得越来越隐蔽和高级。
石油企业所面临的外部安全环境变化大,网络安全形势不稳定。
5.信息泄露风险存在石油企业大量的敏感商业信息、技术资料等存储在网络系统中,一旦发生信息泄露将会对企业的利益造成严重损失。
现有的信息安全技术难以确保信息不被泄露。
6.安全管理机制不完善石油企业网络信息安全管理机制薄弱,没有建立起科学完整的安全管理体系,缺乏有效的安全管理手段和管理规范,安全管理工作效果有限。
7.网络攻击频发石油企业频繁受到各类网络攻击,包括DDoS攻击、病毒攻击、黑客入侵等,网络安全事件频繁发生,给企业的正常运营和信息资产造成了严重威胁。
二、对策建议石油企业应当加强对员工的安全知识培训,提高员工的安全意识和防范能力。
万方数据皇焦王蕉垫苎皇堑蕉盟!!!::ilI_蓄|譬蛰—誊lE嗣lia■3长庆油田NGN网络安全解决方案3.1台理部署核心设备,保证网络的安金性NGN核心设备部署在开放的IP网络中,所以首先要保证嗣络中核心设备的安垒。
(1)在NGN棱心网络和外部网络之间部署双备份的防火墙,通过防火墙隔离风险区域与安全区域的连接。
同时根据设备性能将NGN网络划分为核心网络区、核心媒体区、网管/计费/维护医、半信任区、非信侄区5个区域,不同的域在防火墙上配置不同的安垒策珞。
(2)为提高NGN网络的防攻击能力,核心设备的芙篷部件都按照主备进行配置,绝对避免薄点故障的发生。
(3)所有信令设备均放置在防火墙内,以避免受到外网攻击。
核心设备通过主备网口与主舒交换机相连接,主备交按机之间采用VLANTRUNK进行连接。
同样主备交换机向卜连接到主备防火墙,主备防火墙之问采用VRRP进行连接,保证路由的唯一性,同时缩短业务巾断时问,提高网络可用性。
(4)所有媒体设备包括TG媒体口、SBC媒体口,因为是专翊操作系统防攻击能力较强,数据流量较大,所以设置在防火墙外。
3。
2合理规剡承载网,保证嬲络的碍纛性NGN网络提供的服务质量在极大程度上依赖于承载网自身的服务质量保证机制,所以建设NGN承栽网时要兼顾建凌运营成本和}Ii:l络安牟可靠性蘸个方耐。
3,2.1对NGN承载网的建设规划首先在光缆资源宽怒、接入点多且集中、对话爵通信的安垒性、稳定性要求较高的靖边生产区块、苏里格地区建设部分KGN专翔承载网络。
邋过箱化建蹦考虑的因素,有利于快速组网接入。
再结合茛庆环状大容量光传输网的建设计划,在传输资源宽分、网络带宽充足的区域,逐步建设长庆NGN专用承载网。
在接人用户数最较少,光纤资源紧张的地区,通过共用奠庆互联网鼷络设备的节点实现NGN业务传输。
目前主要用于IAD用户接入。
在宁夏银川、陂西延安、¨1辩庆阳,陕西靖边等二级站点的中继翮关接人时,秤接入用户数量鞍多的生活小区时采用物理隔离和逻辑隔离桐结合的方式。
某石油公司广域网网络安全方案2006年08月目 录第一章石油公司网络需求分析 (1)1.1 石油公司广域网安全现状 (1)1.2 安全风险分析 (2)1.2.1 网络层安全分析 (2)1.2.2 系统层安全分析 (3)1.2.3 应用层安全分析 (4)1.2.4 接入层安全分析 (4)1.2.5 病毒风险分析 (5)1.2.6 安全策略及安全管理分析 (6)第二章安全解决方案 (7)2.1 石油公司总部 (8)2.1.1 冗余的安全网关 (9)2.1.2 建立独立的DMZ安全域 (9)2.1.3 对DMZ实施严格的访问控制 (10)2.1.4 对应用服务器实施IPS防护 (10)2.1.5 实施病毒防御措施 (10)2.1.6 实施垃圾邮件过滤 (11)2.1.7 对网页分级控制 (11)2.1.8 对网络带宽的分配使用 (11)2.1.9 建立可靠的VPN网络 (12)2.2 区域网络中心 (12)2.2.1 严格的访问控制 (13)2.2.2 建立到总部的VPN网络 (13)第三章WatchGuard产品技术特点 (14)3.1 WatchGuard公司 (14)3.2 “预防御”保护 (15)3.2.1 什么是“预防御” (15)3.2.2 Firebox® X架构中集成了真正的预防御保护 (15)3.2.3 漏洞空窗期 (16)3.2.4 强大的保护层协同工作 (16)3.3 实时阻止恶意攻击 (17)3.3.1 阻挡已知攻击源 (17)3.3.2 自动更新特征 (18)3.3.3 阻止即时消息及点对点使用 (18)3.4 WatchGuard® Firebox®系列UTM产品 (18)3.4.1 Firebox产品技术特点: (18)3.4.2 Firebox® X Peak™ 8500e技术规格 (21)3.4.3 Firebox® X Peak™ 5500e技术规格 (21)第一章石油公司网络需求分析1.1 石油公司广域网安全现状目前石油公司广域网呈星形分布,以北京为中心,直接连接约70个地区分公司。
各地区分公司与总部的连接是带宽为2Mbps或N×2Mbps的专用链路。
专用电路租用自电信业务运营商,并且由其提供链路的服务质量保证。
广域网IP地址采用保留地址10.x.x.x。
地址段由总部统一分配,各地区公司内部的地址由各自分配。
石油公司广域网主要包括主干网和地区网两大部分,通过专线远程信道将石油总部局域网与各二级局域网(或园区网)连接起来,目前并没有统一的广域网安全系统。
另外,石油公司广域网还有多处Internet接入口,任何一处的网络安全漏洞都有可能导致整个石油公司网络系统被攻破。
因此必须建立一个总体规划的,规范实施的广域网安全系统。
石油公司本次网络安全建设项目涉及十个区域网络中心,分别是大庆区、大连区、兰州区、新疆区、西南区、吉林区、辽河区、西安区、东南区、北京区。
按照区域网络中心的分布,建立石油公司各区域中心Internet接入链路,整合企业Internet服务,统一安全防护策略,提高Internet接入利用率,降低石油公司Internet接入的总投入成本。
每个区域网络中心的Internet接入主要职责:1. 石油公司总部Internet接入服务;区域网络中心Internet接入服务;2. 石油公司各区域网络中心与Internet接入的安全管理;防止病毒、不良网页等信息流进入企业内部网络;3. 对石油公司外部移动用户提供对石油公司内部网络的安全接入服务;1.2 安全风险分析从石油公司广域网的实际情况来看,我们认为应该从以下几个方面进行全面的分析:y网络层y系统层y应用层y病毒风险y策略和管理层下面将分别进行详细的阐述。
1.2.1 网络层安全分析网络设备主要包括石油公司广域网各节点上的路由器、交换机等设备,如:路由器、交换机。
网络层不仅为石油公司广域网提供连接通路和网络数据交换的连接,而且是网络入侵者进攻信息系统的渠道和通路。
由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。
整个网络就会受到来自网络外部和内部的双重威胁。
尤其在外网Internet中存在着大量的黑客攻击,他们常常针对web服务器和邮件服务器作为突破口,进行网络攻击和渗透。
常见得一些手法如下:IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等。
黑客可以容易的在石油公司广域网出口进出,对系统进行攻击或非法访问。
而在石油公司广域网内部,基本上还没有严格的防范措施,其中的安全隐患不言而喻。
如果加上安全管理上的不够完善等因素,或者在已有的服务器与单机中存在着后门程序(木马程序)话,攻击者就可以很容易地取得网络管理员权限,从而进一步控制计算机系统,网络中大量的数据就会被窃取和破坏。
网络中只要一个地方出现了安全问题,那么整个网络都是不安全的。
因此,在石油公司广域网出口处应配置具有统一安全威胁管理(UTM)功能的安全网关来加强访问控制,杜绝可能存在的安全隐患,来保证网络安全可靠的正常运行。
1.2.2 系统层安全分析在任何的网络结构中都运行着不同的操作系统,如:Windows NT/2000/2003 Server、 HP-UNIX、Solaris、IBM AIX、SCO-Unix、Linux等等,这些系统都或多或少地存在着各种各样的漏洞。
据IDC统计1000个以上的商用操作系统存在安全漏洞,如果这些操作系统没有进行系统的加固和正确的安全配置,而只是按照原来系统的默认安装,这样的主机系统是极其不安全的。
一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏,甚至取得主机管理员的权限。
此外,在网络中,一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限,从而控制主机。
石油公司广域网中存在一定量的服务器,如:数据库服务器、文件服务器等等,而这些服务器都担负着重要的服务功能,如果这些服务器(尤其是有大量的数据处理的服务器),一旦瘫痪或者因被人植入后门造成远程控制窃取数据,后果不堪设想。
为了保证业务数据的正常流通和安全,需对这些重要的服务器进行全方位的防护。
UTM的IPS功能可以针对已知的系统漏洞进行有效地防护。
1.2.3 应用层安全分析石油公司广域网与Internet相连,进行着包括WEB、FTP、E-mail、DNS 等各种Internet应用。
应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。
在应用层的安全问题,黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的,比如针对错误的Web目录结构、CGI脚本缺陷、Web 服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、SAP、 Peoplesoft 缺省帐户。
应用层的安全威胁还包括对各种不良网络内容的访问,比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。
有的Internet 站点上还包含有害的Java Applet或ActiveX小程序,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统,对网络安全和效率都将造成极大破坏。
1.2.4 接入层安全分析石油公司的部分业务系统采用了BS架构方式,目的是提供方便的访问模式,便于集中管理与数据收集。
但是由于企业没有采取安全的防护措施,仅仅依靠用户名方式控制登录用户的访问。
而公众网(Internet)一般没有网络安全措施,采用明文方式传输数据,黑客可以监听这些通过明文传输的用户名与口令;可以利用字典攻击进行暴力破解用户名与口令;从而方便地进入到业务系统中进行破坏活动。
因此对于这样的业务模式,必须有一套安全的接入机制来保护业务数据的安全性。
具有VPN功能的UTM设备是解决此类问题的最佳解决方案。
采用VPN技术的目的是为了在不安全的信道上实现安全信息传输,保证企业内部信息在Internet上传输时的机密性和完整性,同时使用鉴别对通过Internet进行的数据传输进行确认。
1.2.5 病毒风险分析计算机病毒一直是计算机安全的主要威胁。
而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。
据ICSA(国际计算机安全协会)的统计,目前已经有超过90%的病毒是通过网络进行传播的。
石油公司广域网内用户访问Internet时,无论是浏览WEB页面,还是通过FTP下载文件,或者是收发E-mail,都可能将Internet上的病毒带入网内。
而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。
蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。
计算机病毒同样会在石油公司广域网内网之间进行传播,造成总部与各区域网络之间的堵塞,影响业务的正常进行。
因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。
网关防病毒已经成为未来防病毒体系中的重中之重,需要引起石油公司的特别重视。
1.2.6 安全策略及安全管理分析在网络安全中安全策略和管理扮演着极其重要的角色,如果没有制定非常有效的安全策略,没有进行严格的安全管理制度,来控制整个网络的运行,那么这个网络就很可能处在一种混乱的状态。
因为没有非常好的安全策略,安全产品就无法发挥其应有的作用。
如果没有有效的安全管理,就不会做到高效的安全控制和紧急事件的响应(更加详细和周密的安全策略要结合安全服务进行)。
管理是网络安全中最最重要的部分。
责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
这样就会导致:当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,没有优秀的日志信息记录分析系统,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
因此,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
