对油田局域网面临的攻击及防护措施

唐明

摘要：现代信息安全技术是以密码技术、病毒技术、数据恢复技术、操作系统维护技术、数据库技术以及网络技术等所组成的系统技术。而由于油田企业系统对相关技术的认识和技术管理人才培养的局限性，导致在计算机信息应用过程中难免会出现一些漏洞、缺陷。

关键词：油田局域网;网络安全;网络攻击;防护措施

一、油田企业网信息安全风险

（一）油田企业网信息安全技术不足。现代信息安全技术是以密码技术、病毒技术、数据恢复技术、操作系统维护技术、数据库技术以及网络技术等所组成的系统技术。而由于油田企业系统对相关技术的认识和技术管理人才培养的局限性，导致在计算机信息应用过程中难免会出现一些漏洞、缺陷。

（二）油田企业干部职工缺乏安全管理的责任心和防范意识。目前，油田企业信息安全事件最突出的便是信息泄密，虽然技术监管、安全标准等方面不断完善，但由于油田企业信息化管理是一个不断发展的动态过程，油田企业网络安全软硬件技术，使用人员、管理人员的保密意识以及对失泄密的防范措施等都会影响到油田企业网络信息的安全。

二、油田企业网面临的主要攻击

当前油田企业网面临的攻击是多样与复杂的，主要有ARP攻击、DoS攻击、口令攻击、网络监听、特洛伊木马及远程攻击，这些攻击对网络的安全构成了极大的威胁，成为潜伏在油田企业网四周的定时炸弹，让人防不胜防。

（一）ARP 攻击。ARP是地址解析协议的英文缩写，位于IP层的最底层，没有了ARP的辅助，IP也就无法正常运行，只有通过ARP才能实现IP地址与硬件地址的自由切换。ARP本身比较脆弱，很容易遭受恶意攻击，一旦被恶意攻击就会对整个局域网产生严重的危害。ARP攻击最常用的就是ARP欺骗，攻击方式主要是向既定的目标主机发送应答报文，这里面携带着伪造的IP地址和相关的硬件地址，既定的目标主机会自动刷新原有的信息报文并储存伪造的应答报文信息，从而实现对计算机系统的网络攻击。

（二）DoS 攻击。DoS（拒绝服务）攻击不是以获得网络或者网络上的信息访问权为目的，而是使用超出被攻击目标处理能力的大量数据包消耗系统可用存储、带宽资源，最后致使网络服务瘫痪的一种攻击手段。DoS攻击的过程如下：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回傳信息。由于地址是伪造的，所以服务器一直等不到回传的信息，然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被中断，攻击者会再次传送新的一批请求，在这种反复发送伪造地址请求的情况下，服务器资源最终会被耗尽。

（三）口令攻击。口令攻击，一般通过“finger远端主机名称”轻松找到机主存留在计算机上的登录账号，然后通过利用大规模的字典穷举法对其进行密码破译，通过进入机主登录界面并设法获取机密信息。

（四）网络嗅探。若是黑客登录油田企业网主机并取得超级用户权限，就可以登录其它主机，使用网络监听便可以有效地截获网络上的数据。实现网络监听的工具很多，现在被广泛使用的监听工具是Sniffer，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，也可截获到信用卡号、经济数据、电子邮件等等，更可以用来攻击与己相邻的网络，它是个非常危险的东西。

（五）木马病毒。在网络中，一般故意伪装成一个实用性的工具或者资料包，或者是一个外表比较可爱充满趣味性的网络游戏，吸引用户自行安装在自己的电脑上，然后获取用户的相关信息，其性质和冒充IP地址相似，都是在伪装的外表下实施网络攻击与犯罪。

三、实现油田企业网安全的防御措施

油田企业网面临上述危险，就必须从各个方面做好油田企业网的安全防御，对每一个既定的环节采取有效的防护措施，对容易出现危机的部位加强防御，营造一个良好的专网环境。我们可以采取以下方式防御、抵抗各种网络攻击行为。

（一）增强网络安全意识，提高网络安全防范能力。增强网络安全意识是基础性的防护措施，有了较强的安全意识才会树立一定的防御观念，才能保证油田企业网的网络安全。网络安全意识的加强主要针对信息安全管理者和用户个人，二者携手并进才能做好网络安全环境的构建。

（1）网络管理员应该具备安全意识。加强服务器口令的安全，设置必要的安全账号和有效密码，这是服务器口令管理的基础性工作，也是增强安全保护意识的首要体现。设置必要的锁屏功能，通过设置锁屏可以有效减少信息被任意盗取的几率，相当于为计算机增设了一层保护。对于重要的数据资源要学会备份，并且对十分重要的文件要加密处理，防止他人盗取。在资料传输后妥善处理优盘，必要的时候进行杀毒或者是电脑安全监测，确保整个网络的安全。

（2）油田企业网使用中也应该增强网络安全意识。网络安全不仅是管理员要做的事情，作为使用者个人我们也有必要提高一下自己的网络安全意识。即使网络使用只局限于工作或者是学习。给自己的网络或者是计算机系统设置一定的安全账号和密码，不要轻易与他人共享自己的隐秘信息，感兴趣的软件或者是视频资料建议去一些官网下载，下载正规的软件系统，不给木马、病毒攻击的机会。

（3）加强培训与宣传。提高管理层和广大干部职工的信息安全意识，是信息安全管理工作的基础。利用定期培训、宣传板报、邮件等方式定期反复对油田企业网用户进行信息安全培训和宣传，能有效提高油田企业网络信息安全管理水平。

（二）强化访问控制。

（1）密码策略。高强度的密码需要几年时间来破解，而脆弱的密码在一分钟内就可以被破解。提高油田企业网用户的密码强度是访问控制的必要手段。为避免弱密码可能造成的危害，油田企业网络必须制定密码策略并利用技术手段保证执行。

（2）用户权限管理。油田企业网络的用户从进入一个岗位到离开这个岗位是一个完整的生命周期，要便捷有效地在这个生命周期中对用户的权限进行管理，需要油田企业网络具有完善的身份管理平台，从而实现授权流程的自动化，并实现网内应用的单点登录。

（3）公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块，VPN接入、文件加密系统等均可以通过公钥系统提升安全水平，因此油田企业网络应当部署PKI/CA系统。

（4）做好防火墙的安全防御。防火墙是目前使用比较广泛的网络安全保护措施，主要针对自己的安全局域网展开保护，对于那些恶意攻击的信息或者是计算机病毒通过防火墙安全监测，将非法信息阻挡在防火墙之外。防火墙是一款安全性比较高的计算机安全防御系统，如果想实现网络的安全防御最好安装防火墙。

（三）落实监控与审计。

（1）病毒扫描与补丁管理。油田企业网需要统一的防病毒系统和终端管理系统，在终端定期更新病毒定义，进行病毒自动扫描，自动更新操作系统补丁，以减少桌面终端的安全风险。

（2）恶意软件防控。主流的恶意软件防控体系主要由五部分构成：防病毒系统、内容过滤网关、邮件过滤网关、恶意网页过滤网关和入侵检测软件。

（3）网络入侵检测系统。网络入侵检测系统作为防火墙的补充，主要用于监控网络传输，在检测到可疑传输行为时报警。作为油田企业信息安全架构的必备设备，入侵检测系统能有效防控外部的恶意攻击行为。

参考文献：

[1] 张雨涵;局域网存在的安全风险与防范措施分析[J];硅谷;2014年第04期

[2] 王雄;孙晓东;吴维桥;信息内网面临的安全威胁及防护措施[J];青海电力;2013年第02期

（作者单位：中国石化中原油田信息化管理中心）