摘要隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終。

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

1、影響石油企業(yè)網(wǎng)絡(luò)安全的因素

1.1主觀因素

（1）從使用網(wǎng)絡(luò)的人來看，網(wǎng)絡(luò)使用者的安全防范意識不盡相同，有的人非常重視網(wǎng)絡(luò)安全，有的人甚至不知道什么是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全意識薄弱。

（2）從黑客的角度來分析，黑客對于網(wǎng)絡(luò)安全的威脅是目前最大的。黑客通常是利用技術(shù)將帶有病毒的游戲、網(wǎng)頁、多媒體等放入軟件終端，電腦使用者不留意就會點(diǎn)開這些資源，黑客就會監(jiān)控電腦的一切活動，會偷取計(jì)算機(jī)上的用戶名、賬戶、密碼等個(gè)人隱私數(shù)據(jù)，或者占用系統(tǒng)資源，嚴(yán)重的情況下會導(dǎo)致系統(tǒng)崩潰，企業(yè)相關(guān)的資料都會消失，損害企業(yè)的經(jīng)濟(jì)、財(cái)產(chǎn)，并為網(wǎng)絡(luò)安全帶來威脅。

1.2客觀因素

石油企業(yè)應(yīng)用網(wǎng)絡(luò)辦公都已經(jīng)形成了企業(yè)獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，但還是受到網(wǎng)絡(luò)安全的威脅，主要是由于影響石油企業(yè)網(wǎng)絡(luò)安全的自然原因主要是操作系統(tǒng)和軟件的漏洞。隨著科技的發(fā)展，網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用軟件總在不斷地更新，而且其更新比較慢，這就為黑客的入侵提供了縫隙。

當(dāng)前網(wǎng)絡(luò)被廣泛運(yùn)用到建筑企業(yè)的各個(gè)部門，提升建筑企業(yè)的工作效率。但仍然存在著一些威脅網(wǎng)絡(luò)安全的問題，如操作設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用方面的問題，找到問題并提出解決的方法是確保建筑企業(yè)網(wǎng)絡(luò)安全的有效途徑。

1網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)系統(tǒng)的軟硬件不受破壞，確保系統(tǒng)中數(shù)據(jù)不因惡意攻擊遭到破壞，保證數(shù)據(jù)安全和系統(tǒng)正常運(yùn)作，這就是所謂的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全具有完整性、保密性、可審查性、可控性等特點(diǎn)，要利用網(wǎng)絡(luò)安全的特性為建筑企業(yè)服務(wù)。作為企業(yè)信息化標(biāo)志的網(wǎng)絡(luò)管理在建筑企業(yè)中發(fā)揮著重要作用，不僅能確保建筑工程的信息管理，確保工程順利完工，還能提高工作效率，增加企業(yè)經(jīng)濟(jì)效益。

2建筑企業(yè)網(wǎng)絡(luò)安全存在的問題

2.1操作硬件欠佳造成網(wǎng)絡(luò)癱瘓

計(jì)算機(jī)硬件主要由控制器、運(yùn)算器、輸入設(shè)備、輸出設(shè)備和存儲器五部分組成，這些物理裝置構(gòu)成計(jì)算機(jī)的物質(zhì)基礎(chǔ)，是計(jì)算機(jī)軟件運(yùn)行的前提條件。軟件主要是指計(jì)算機(jī)系統(tǒng)中的文檔及程序。計(jì)算機(jī)軟件主要包括程序設(shè)計(jì)語言處理系統(tǒng)、媒體工具軟件、操作系統(tǒng)、圖像工具軟件等。其中，操作系統(tǒng)是較重要的一種軟件。操作系統(tǒng)既是計(jì)算機(jī)與用戶的接口，也是計(jì)算機(jī)軟件和硬件的接口，它不需要用戶進(jìn)行具體操作。操作系統(tǒng)在計(jì)算機(jī)安裝時(shí)就存在，它直接管理并控制著軟硬件系統(tǒng)資源。操作系統(tǒng)的設(shè)置考慮最多的是運(yùn)行便捷，安全性方面考慮的較少。操作系統(tǒng)在安裝的時(shí)候必然要開啟一些系統(tǒng)，安全隱患就會凸現(xiàn)出來，這種安全隱患是無形的威脅，不易察覺，積累到一定的程度，就容易造成網(wǎng)絡(luò)崩潰，網(wǎng)頁無法繼續(xù)訪問等問題。建筑企業(yè)需要網(wǎng)絡(luò)進(jìn)行工程計(jì)算和其它輔助工作，一旦網(wǎng)絡(luò)癱瘓，會影響企業(yè)的各項(xiàng)工作進(jìn)程。

1油田企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

1.1企業(yè)信息安全管理的隱患

信息安全管理涉及油田生產(chǎn)、數(shù)據(jù)保存、辦公區(qū)域保護(hù)等多個(gè)層面，在信息化時(shí)代，油田企業(yè)需要加強(qiáng)信息化網(wǎng)絡(luò)安全管理?，F(xiàn)階段，油田企業(yè)信息安全管理的漏洞包括：①信息安全管理制度不健全，缺乏細(xì)化、具體化的網(wǎng)絡(luò)安全措施，針對員工不合理使用信息設(shè)備、網(wǎng)絡(luò)的懲罰機(jī)制不健全。②部分管理人員和員工信息素養(yǎng)較低，如他們不能全面掌握部分軟件的功能，不重視企業(yè)網(wǎng)絡(luò)使用規(guī)范，且存在隨意訪問網(wǎng)站，隨意下載文件的現(xiàn)象，增加企業(yè)網(wǎng)絡(luò)負(fù)擔(dān)，影響網(wǎng)絡(luò)安全。③信息系統(tǒng)管理員缺乏嚴(yán)格的管理理念。石油企業(yè)信息網(wǎng)絡(luò)系統(tǒng)都設(shè)有管理員崗位，負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)軟硬件的配備與管理，但現(xiàn)階段，該職位員工缺乏嚴(yán)格的管理理念，不能及時(shí)發(fā)現(xiàn)和解決信息安全隱患。④為方便員工使用移動終端設(shè)備辦公上網(wǎng)，石油企業(yè)辦公區(qū)域也設(shè)置了無線路由器。但是，員工自身的手機(jī)等設(shè)備存在很多不安全因素，會影響企業(yè)網(wǎng)絡(luò)安全性。

1.2病毒入侵與軟件漏洞

網(wǎng)絡(luò)病毒入侵通常是通過訪問網(wǎng)站、下載文件和使用等途徑傳播，員工如果訪問不法鏈接或下載來源不明的文件，可能會導(dǎo)致病毒入侵，危害信息安全。病毒入侵的原因主要有兩方面，一方面，員工的不良行為帶來病毒；另一方面，系統(tǒng)自身的漏洞導(dǎo)致病毒入侵。由此看來，油田企業(yè)信息化軟件自身存在的漏洞也具有安全隱患。其中，主要包括基礎(chǔ)軟件操作系統(tǒng)，也包括基于操作系統(tǒng)運(yùn)行的應(yīng)用軟件，如Office辦公軟件、CAD制圖軟件、社交軟件、油田監(jiān)控信息系統(tǒng)、油田企業(yè)內(nèi)部郵箱、財(cái)務(wù)管理軟件、人事管理軟件等。

1.3網(wǎng)絡(luò)設(shè)備的安全隱患

1、應(yīng)用分析

在企業(yè)網(wǎng)絡(luò)應(yīng)用中，存在涉及各個(gè)部門、各個(gè)方面的數(shù)據(jù)，這些數(shù)據(jù)既有企業(yè)內(nèi)外的區(qū)別，又有企業(yè)內(nèi)部各部門之間的區(qū)別，往往需要在企業(yè)內(nèi)外、內(nèi)部各部門之間進(jìn)行嚴(yán)格的數(shù)據(jù)控制。例如，企業(yè)內(nèi)部很多數(shù)據(jù)和文件，都涉及企業(yè)內(nèi)部機(jī)密，是不能讓企業(yè)外部知道的，這就必須對企業(yè)外部進(jìn)行嚴(yán)格的隔離；再如企業(yè)內(nèi)部財(cái)務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，很多數(shù)據(jù)都需要向其它部門員工保密，而財(cái)務(wù)部網(wǎng)絡(luò)又不可能和其它部門網(wǎng)絡(luò)完全獨(dú)立，否則無法完成相關(guān)數(shù)據(jù)的采集整理工作，因此要對這些數(shù)據(jù)進(jìn)行業(yè)務(wù)隔離。在企業(yè)數(shù)據(jù)網(wǎng)絡(luò)中，利用交換機(jī)構(gòu)建起二層數(shù)據(jù)網(wǎng)絡(luò)，通過交換機(jī)進(jìn)行端口掩碼配置，使企業(yè)同一網(wǎng)絡(luò)的多個(gè)端口形成不同的隔離組相互隔開，這些隔離開端口要想互通必須通過上游設(shè)備進(jìn)行，給不同的業(yè)務(wù)提供不同的隔離組，即可實(shí)現(xiàn)二層業(yè)務(wù)的隔離，提高企業(yè)數(shù)據(jù)的安全性。而利用交換機(jī)，僅需要通過簡單的VLan劃分，即可實(shí)現(xiàn)不同端口間的隔離，具有成本低性能好的優(yōu)點(diǎn)，在企業(yè)網(wǎng)絡(luò)安全中具有極高的可用性。

2、系統(tǒng)構(gòu)建

2.1網(wǎng)絡(luò)拓樸結(jié)構(gòu)

本文以一小型企業(yè)為例，就利用端口隔離構(gòu)建企業(yè)網(wǎng)絡(luò)，提升企業(yè)網(wǎng)絡(luò)安全進(jìn)行淺要的探討。該企業(yè)有PC機(jī)6臺，服務(wù)器一臺，PC機(jī)供各部門進(jìn)行具體業(yè)務(wù)操作，服務(wù)器存儲管理企業(yè)各方面數(shù)據(jù)。企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間通過防火墻與Internet相連，內(nèi)部各部門計(jì)算機(jī)以及數(shù)據(jù)服務(wù)器通過交換機(jī)互聯(lián)。其中，內(nèi)部各部門計(jì)算機(jī)之間采用端口隔離技術(shù)進(jìn)行分組，構(gòu)建二層業(yè)務(wù)數(shù)據(jù)隔離結(jié)構(gòu)。本文以H3C交換機(jī)為例實(shí)現(xiàn)端口隔離，系統(tǒng)網(wǎng)絡(luò)拓樸結(jié)構(gòu)示意圖如圖1所示:

2.2技術(shù)實(shí)現(xiàn)