網絡安全支撐油田數字化

■ 文/黃曉東 景懷民 李世紅 秦博 陳高輝

網絡安全支撐油田數字化

■ 文/黃曉東 景懷民 李世紅 秦博 陳高輝

在長慶油田大力推進油田數字化管理的過程中，對計算機網絡的承載能力和安全性提出了較高的要求。與油田大發展同步，計算機網絡得到快速發展。如何設計網絡架構，如何保障內部數據傳輸的高效安全，做好互聯網、主干網絡的核心層、匯聚層、接入層的暢通和安全；如何搞好網絡管理，確保網絡高效運維，長慶油田進行了積極探索與實踐。

長慶油田通信處確立了為油田生產經營業務提供穩定、安全、可靠、暢通的網絡服務目標，把工作重心轉移到確保“數字化管理”的網絡需要上來，緊緊圍繞中國石油規劃的計算機局域網改進項目實施，主要從計算機主干網絡、網絡安全體系、網絡數字化管理等方面，確保為“大油田管理、大規模建設”提供了強有力的通信信息服務保障。

網絡系統架構

羅紅年/供圖

遵循中國石油局域網建設和運維規范，結合長慶油田實際，科學規劃，從網絡架構、設備配置、系統承載能力、網絡帶寬等全面構架網絡。

網絡架構設計。按照核心層、匯聚層、接入層三層架構的設計原則，在主要油氣區設置網絡匯聚節點，提高網絡覆蓋面，滿足油氣生產需要。設置西安網絡核心，西安、慶陽、銀川、延安、靖邊、涇渭、烏審旗7個網絡匯聚節點，吳起等10多個三級節點。

網絡拓撲結構采用雙星型結構。自有電路與社會電路資源結合使用，在鏈路層面提高了油氣區網絡的可靠性和安全性。對于主要油氣區域的匯聚節點，采用網狀組網方式，增加到其他匯聚節點的千兆級電路，提高網絡冗余度。

設備配置。主干節點設備采用冗余配置。西安網絡核心、各網絡匯聚節點及重要三級節點的路由器、交換機，采用雙設備冗余配置。主用設備與備份設備雙機模式工作，在系統或者硬件故障時候應用自動切換，在硬件層面提高主干網絡的安全性、可靠性。

網絡帶寬。長慶油田的數字化管理全面展開，計算機網絡的帶寬需要按照業務需求進行規劃。將網絡業務分為生產、辦公、住宅三類，逐一預測帶寬。將主干網絡承載的主要業務生產數據按照其業務層級，從井站、作業區、廠部到公司，逐級分解，明確了主干網絡的帶寬需求，初步確定了西安網絡核心與各匯聚節點之間采用雙2.5Gbps鏈路互聯，三級節點至網絡匯聚節點采用1-2個1000Mbps互聯，核心網絡采用雙萬兆互聯的鏈路方案。為確保鏈路的可靠性，主要節點之間采用雙鏈路互聯。

系統承載能力。系統承載能力：公司主干網絡在西安、慶陽、銀川、延安、靖邊、涇渭、烏審旗設置有網絡匯聚節點。每個匯聚節點的設備路由及交換能力極大提高，三層路由轉發速率達到400Mpps以上，交換容量640Gbps/720bps以上，系統能滿足下一步萬兆業務的擴展。系統接入能力：按照各單位雙鏈路接入各匯聚節點交換機，視頻會議等關鍵業務接入各匯聚節點路由器的原則。每個匯聚節點可以同時提供48個單位雙千兆接入，24個關鍵應用雙千兆接入。

網絡安全體系

如何規劃和設計好網絡安全體系，是油田數字化管理基礎網絡建設的重中之重，也是支持各種信息化應用系統運行的關鍵所在。按照中國石油的統一規劃，各油田計算機網絡，對上，與中國石油總部內部網絡互聯，對外，可以就地通過電信運營商接入Internet。這樣就可以從結構上將網絡安全分為內部安全、外部安全進行考慮。

長慶油田在打造暢通、可靠的油田計算機主干網絡的同時，同步做好網絡安全工作，從網絡的邊界層、核心層、接入層及安全體系等方面進行統籌規劃，已初步形成了邊界嚴防護、核心重監控、桌面勤補漏、全網建體系的網絡安全管理理念。網絡安全性得到加強，非正常應用流量減少90%。

在邊界層，采用防火墻及IPS技術，實現對來自外網的安全第一級防護；在網絡核心層，首次在企業網應用了流量清洗技術，不僅實現了外網第二級安全防護，還實現企業內部各個重要業務及用戶之間的流量監測及攻擊性數據清洗；在接入層，采用漏洞掃描系統，不定期對敏感業務系統進行掃描和加固，及時發現安全隱患并予以消除；在主干網方面，以建立網絡安全體系為核心，加強網絡安全管理，初步建立起了主干網的安全評估體系。

互聯網網絡安全。在與互聯網的接入部分，按照安全區、信息交換區、互聯網接入區三個安全區進行建設，規劃兩臺防火墻，考慮到出口網絡萬兆升級以及防火墻處理能力，同時為了降低出口網絡復雜度，選擇自帶IPS功能的防火墻，通過防火墻設備完成出口網絡的安全防護和入侵防護功能。防火墻選型上既考慮國內產品自主知識產權的優勢、又兼顧國外產品高性能及穩定性好的特點。

內網安全。通過對目前業界各類安全技術的跟蹤和研究，重點按照核心層做清洗、桌面做漏洞掃描及加固、全網進行安全體系建設三方面強化內部網絡安全建設。

核心網絡流量監控及清洗。一方面，通過建立流量模型，保障主要業務。在網絡核心，采用相對串接、鏡像等方式先進的分光技術，部署旁路流量分析監管設備，通過分析網絡核心、互聯網出口等流量情況，提煉重要業務的特性，建立全網主要業務流量模型，為網絡規劃建設提供依據。對于P2P等對于網絡帶寬消耗較大的業務，設定閥值及流量管理規則，使P2P等業務對用戶網絡訪問影響降到最低。另一方面，通過對異常流量的清洗，保障核心業務及網絡的安全。針對目前在網絡中頻繁發生的病毒攻擊等行為，選擇旁路部署的網絡異常流量清洗設備，通過采用策略路由和BGP引流方式實現流量監控與異常流量的清洗，使得網絡安全管理變被動為主動、由事后分析到事前防范、由未知到可視。據統計，2010年3月份就成功消除安全事件1600多起，較大提高了網絡的穩定性和可靠性。各類安全策略及規則庫的及時更新升級，也使得系統能應對各類新的攻擊。

安全評估建設及桌面漏洞掃描。在網絡核心部署漏洞掃描系統，不定期對相關業務網絡進行掃描，發現漏洞，及時進行系統加固，減少安全事件的發生，提高網絡穩定性。在此基礎上，與國家有安全資質的第三方公司合作，開展安全體系建設，逐步建立較為完善的網絡安全管理體系。

網絡管理

經過計算機網絡的大規模建設和發展，網絡運維工作量規模成倍增長，而網絡運維人員沒有增加，如何高效運維已經成了迫在眉睫的問題，通過不斷的調研和測試，我們認為目前的網絡廠家的專業化網管軟件、第三方網管軟件、國內的網絡軟件之中，第三方的較為實用，縱觀C A、H P等廠家的系統，Solarwinds成為目前比較適合長慶實際，能快速高效部署和運維的一套經濟實用的系統。主要實現了以下幾個方面的開發和應用：實現對全網的網絡設備包括路由器、交換機、防火墻、服務器等的實時監測，涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個廠家的產品，監測參數包括C P U、內存、帶寬、會話數等；實現對各類故障的實時告警和管理，以短信等方式及時提醒運維人員；實時展現全網拓撲結構，以圖形化界面友好展示網絡暢通情況；實現對全網設備的配置自動備份，能進行配置比對，方便技術人員分析設備運行情況；量化統計分析網絡及設備的可用性等指標；靈活定制各類報表，方便決策分析和統計。

通過自定義方式建立起來的資源管理，極大方便了網絡基礎數據和資料的管理。

在近一年多的實際運維中，主干網絡未出現中斷、出口通暢，網絡可用性達到100%。網絡整體服務能力的各項指標明顯提高：網頁平均打開時間由15m s降低到7m s；主干帶寬利用率保持<13%；安全設備主要性能指標利用率<10%；網絡交換路由設備關鍵指標利用率<12%；P2P流量降低60%；流量性攻擊有效防御，今年5-8月份，發生的11480次攻擊事件均被有效清洗；其中各類業務系統及網絡安全性明顯提高，未發生1次被攻擊事件，異常事件僅占全網異常事件總數的0.45%。

作者單位：中國石油長慶油田公司通信處信息中心