計算機理論之長慶油田網路安全預防措施

  隨著國家資訊化建設的快速發展,資訊網路安全問題日益突出,資訊網路安全面臨嚴峻考驗。當前網際網路絡結構無序、網路行為不規範、通訊路徑不確定、IP地址結構無序、難以實現服務質量保證、網路安全難以保證。長慶油田網路同樣存在以上問題,可靠性與安全性是長慶油田網路建設目標。文章以長慶油田網路為例進行分析說明論文下載。

  1.長慶油田網路管理存在的問題

  長慶油田公司計算機主幹網是以西安為網路核心,包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網路。網路龐大,存在的問題也很多,這對日常網路管理是一份挑戰,由於管理的不完善,管理存在以下幾個方面問題:

  1.1 出現問題才去解決問題

  我們習慣人工戰術,習慣憑經驗辦事。網路維護人員更像是消防員,哪裡出現險情才去撲救。裝置故障的出現主要依靠使用者報告的方式,網管人員非常被動,無法做到主動預防,無法在影響使用者使用之前就預見故障並將其消除在萌芽狀態。因此,這種維護模式已經很難保障網路的平穩執行,能否平穩影響網路安全與否。

  1.2 突發故障難以快速定位

  僅僅依靠人工經驗,難以對故障根源做出快速定位,影響故障處理。而且隨著網路的複雜程度的提高,在故障發生時,難以快速全面的瞭解裝置執行狀況,導致解決故障的時間較長,網路黑客侵犯可以趁機而來,帶來網路管理的風險。

  1.3 無法對全網執行狀況作出分析和評估

  在傳統模式下,這些都需要去裝置近端檢查,或遠端登入到裝置上檢視,不僅費時費力,而且對於歷史資料無法進行連續不間斷的監測和儲存,不能向決策人員提供完整準確的事實依據,影響了對網路效能及質量的調優處理,龐大的網路系統,不能通盤管理,不能保證網路執行穩定,安全性時刻面臨問題。

  2.網路安全防範措施

  計算機網路的安全性可以定義為保障網路服務的可用性和網路資訊的完整性,為了有效保護網路安全,應做好防範措施,保證網路的穩定性,提高網路管理的效率。

  2.1 完善告警機制,防患於未然

  告警監控是一種手段,裝置維護人員、網路分析人員需要通過告警資訊去分析、判斷裝置出現的問題並儘可能的找出裝置存在隱患,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警資訊、告警通知方式兩方面著手:

  2.1.1 在告警資訊的配置方面

  目前,長慶油田計算機主幹網包括的97臺網絡裝置、71臺伺服器,每臺裝置又包含cpu、介面狀態、流量等等效能引數,每一種引數在不同的時間段正常值範圍也不盡相同。

  例如同樣為出口防火牆,西安與銀川的各項效能閥值的設定也不盡相同,西安的會話數達到25萬,而銀川的超過20萬就發出同樣的告警。再比如,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因為這個時候線上使用者很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要發出告警資訊。

  因此必須根據監控的物件裝置或鏈路、內容各項效能指標以及時間段,設定不同的觸發值及重置值。

  2.1.2 告警通知方式的多樣化

  任何時間我們都無法保證能全天候死盯著螢幕,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發通知,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警,從而做出應有的反應,所以我們需要開發出例如聲音、郵件、簡訊等多種告警方式。

  通過以上兩個方面,我們可以建成一個完善的故障告警系統,便於隱患的及時消除,提高了網路的穩定性。

  2.2 網路拓撲的動態化

  如果一個個裝置檢查起來顯然費時費力,如果我們能將所有裝置的狀態及其連線狀況用一張圖形實時動態的直觀顯示出來,那麼無疑會大大縮短故障定位時間。

  說明:2009-10-11日17:05,慶陽、延安、靖邊、銀川四個區域的T1200-02的連線西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口,以及西峰、吳起連線慶陽匯聚交換機Z8905-02的千兆光口,以上介面同時發出中斷告警。

  因此,綜合告警資訊與全網拓撲圖,當出現大規模告警的情況下能夠非常高效地找出故障源,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率,提高了網路的穩定性。

  2.3 全網資源管理的動態化

  2.3.1 通過對網管系統的二次開發,實現全網動態資源分析,他的最重要特點就是動態,系統通過Polling Engine從裝置上自動提取資料資料,如裝置硬體資訊、網路執行資料、告警資訊、發生事件等。定時動態更新,最大限度的保持與現網的一致性。

  2.3.2 通過一個集中的瀏覽器介面上就可以快速、充分地瞭解現有網路內各種動態和靜態資源的狀況,徹底轉變了傳統的網路依賴於文字表格甚至是依賴於維護人員的傳統維護模式,變個人資料為共享資料。

  2.4 提高安全防範意識

  只要我們提高安全意識和責任觀念,很多網路安全問題也是可以防範的。我們要注意養成良好的上網習慣,不隨意開啟來歷不明的電子郵件及檔案,不隨便執行陌生人傳送的程式;儘量避免下載和安裝不知名的軟體、遊戲程式;不輕易執行附件中的EXE和COM等可執行程式;密碼設定儘可能使用字母數字混排;及時下載安裝系統補丁程式等。

  總之,影響網路穩定的因素有很多,本文基於日常網路安全管理經驗,從日常網路管理的角度,提出一些安全防範措施,以期提高網路穩定性。