淺談油氣生產企業網絡安全體系研究與建設

許洪東?張春宇?楊帆

[摘 要]近年來，網絡安全事件頻出，攻擊手段層出不窮，面對日益嚴峻的網絡安全形勢，國家相關部門不斷加大網絡安全檢查力度，以查促改，補齊短板，初見成效。大型油氣生產企業的網絡主要服務于油田生產及運行，易遭受計算機病毒、木馬程序、釣魚郵件等網絡惡意行為的威脅，網絡安全事件造成的損失與日俱增。本文通過對油氣生產企業網絡安全問題全面研究和分析，進一步優化油氣生產企業網絡，不斷完善網絡安全體系，提高網絡安全防護能力。

[關鍵字]網絡安全;病毒防護;工控安全;物聯網安全

doi：10.3969/j.issn.1673 - 0194.2019.22.030

[中圖分類號]D412.6[文獻標識碼]A[文章編號]1673-0194（2019）22-00-02

1? ? ?網絡安全總體形勢

隨著信息技術飛速發展，網絡應用對人們生活的改變逐步深入，已經成為影響國家經濟發展的關鍵行業。企業對網絡的依賴也不斷增加，滲透到生產、加工、銷售等企業生產經營的各個環節。與此同時，網絡安全問題也隨之而來，企業重要數據、商業機密、工業控制等系統都成了網絡攻擊的對象，網絡安全風險與日俱增。

1.1? ?網絡安全事件層出不窮

2015年12月23日，烏克蘭電力部門遭受惡意代碼攻擊，攻擊者入侵了監控管理系統，造成了嚴重的斷電事故;2017年5月12日，全球范圍爆發針對Windows操作系統的勒索軟件感染事件，國內企業、學校、醫療、電力、能源、銀行和交通等多個行業均遭受不同程度的影響。

1.2? ?攻擊手段種類繁多

隨著互聯網技術的發展，網絡攻擊方式也在不斷增加，如破壞型攻擊方式：DDOS攻擊、勒索病毒等;竊取型攻擊方式：木馬、SQL注入等;詐騙型攻擊方式：釣魚郵件、網站、短信等。

1.3? ?油氣生產企業網絡安全形勢嚴峻

從最初的企業網、終端計算機、服務器、筆記本電腦等常用辦公設備，到數字油田建設所使用的數字儀表（RTU、無線壓力變送器、無線溫度變送器、數字流量計等）都成了攻擊方重點關注的對象，隨著設備增加，防御難度越來越大。

2? ? ?油氣生產企業網絡安全體系架構

隨著工業化與信息化深入融合，信息技術已經在油氣生產過程中發揮著至關重要的支撐作用，計算機網絡已成為油田生產、經營管理、信息溝通、數據共享的重要橋梁，也是建設數字油田、智能油田、智慧油田的基礎保障。然而，在油氣生產企業勘探開發、生產管理以及指揮調度等工作中，網絡安全攻擊風險不斷增多，直接威脅企業正常生產運行。面對日益嚴峻的網絡安全問題，油氣生產企業必須制定一套健全的網絡安全體系，確保油田生產經營有序進行。因此，在認真落實上級部門相關政策方針的同時，從管理和技術兩方面深度研究，構建總體網絡安全體系架構。

3? ? ?油氣生產企業網絡安全管理體系建設

3.1? ?組織體系建設

油氣生產企業網絡安全管理組織體系應具備安全建設、技術研究、分析保障、運維監測、協調管理、監督檢查和領導決策等7項職能。在油氣生產企業信息安全領導小組統一領導下，可以分為監測、保障、管理和決策等4個層級，建立各級信息安全管理組織體系，確保信息安全管理工作有效落實。

3.2? ?制度和標準建設

網絡安全“三分技術，七分管理”，在安全事件危害影響更大的油氣生產企業信息系統中，對安全管理提出了更高的要求。因此，建設完善的管理制度和標準也是網絡安全體系建設的重要內容。建立信息安全制度和標準，提出解決突出問題的思路，不斷完善信息安全管理辦法和信息安全標準。

3.3? ?安全管理責任制建設

人在整個安全體系中處于核心地位，人員的網絡安全意識和基本技能在很大程度上決定了安全防護體系和措施的效果。因此，要按照“誰主管誰負責，誰建設誰負責，誰運維誰負責，誰使用誰負責”的原則，統一領導、各司其職，推行安全管理責任制。

4? ? ?油氣生產企業網絡安全技術體系建設

網絡安全技術體系是以安全策略為指導，從終端計算機安全、局域網安全、物聯網安全、工控系統安全等多個方面開展安全防護工作，立足成熟的網絡安全技術和安全措施，建立多層次、多維度的油氣生產企業網絡安全技術體系。

4.1? ?終端計算機安全管理策略

終端計算機安全主要面臨操作系統漏洞和用戶錯誤操作兩方面網絡安全威脅。針對操作系統漏洞，可以通過安裝桌面安全管理軟件，并通過軟件定期為終端計算機安裝系統補丁，設置強壯操作系統登錄口令，有效保護局域網內終端計算機安全。針對用戶錯誤操作類問題，制定并落實《辦公計算機終端安全防護指南》，敦促所有計算機用戶遵守計算機用戶守則，降低桌面計算機風險。

4.2? ?局域網安全管理策略

局域網安全主要面臨交換機自身問題和用戶違規操作等兩個方面的問題。針對交換機自身問題，要做好交換機配置，關閉Telnet功能，關閉443、137、138、139等易被攻擊的端口;在網絡出口處架設硬件防火墻，定期更新特征庫，防御1～4層網絡協議攻擊;在防火墻與核心交換機中間安裝入侵防御系統（IPS），定期更新特征庫（包括攻擊庫、病毒庫、協議庫），防御網絡攻擊。針對用戶違規操作，通過核心交換機IP與MAC綁定減少非法占用IP問題，通過交換機VTP、STP協議配置減少環狀網引發斷網問題，運用防火墻軟件過濾配置杜絕二級代理問題，通過VRV掃描實時監控私接寬帶問題，同時加大檢查力度，杜絕發生外網遠程控制內網計算機事件。

4.3? ?服務器安全管理策略

服務器作為整個網絡的核心，經常成為攻擊的首選目標。針對服務器安全，油氣生產企業主要應進行以下幾項工作。一是將所有服務器劃分至一個單獨的VLAN中，并單獨設立網絡防火墻，減少服務器受到的外部攻擊。二是進行云數據遷移，將本地數據遷移至云數據中心，保證數據兩地存儲，防止數據損壞或丟失。三是應用虛擬服務器技術，提高數據容災能力，單臺虛擬服務器恢復時間在4 h以內，數據庫恢復時間在10 min

以內。

4.4? ?物聯網安全管理策略

隨著油氣生產物聯網的建設與應用，大量生產數據將被采集存儲，數據安全尤其重要，油氣生產企業應針對數據采集安全與數據存儲安全，提早介入研究，制訂安全管理方案。一是統一傳輸協議，制定數據采集、存儲標準，加裝硬件防火墻，提高數據傳輸安全。二是運用分布式數據庫技術，有效結合數據存儲發布服務器與RTU采集服務器，提高數據存儲安全性與時效性，同時運用光存儲服務器實時存儲采集到的數據。三是運用數據加密技術，傳輸數據不體現任何與油田相關的標識，確保數據即使被截獲也無法被破解。四是RTU端與服務器端互相認證，實現數據“一對一”傳輸，降低被截獲概率。

4.5? ?工控系統安全管理策略

工控系統泛指聯合站、中轉站等站內控制系統，工控系統一旦受到黑客攻擊、病毒植入等威脅，將帶來極大損失。隨著數字油田建設，油田站內數據又急需實時回傳至采油廠，給網絡安全工作帶來了極大的挑戰。針對物理隔離的站內工控系統，主要做好工控機補丁更新、防病毒軟件安裝，關閉USB口使用功能等。針對需要回傳數據的站內工控系統，除做好上述工作外，需單獨架設光纖，實現數據采集服務器“一對一”鏈接工控系統，同時實施以下安全防護策略。一是硬件防護策略。實現工控網絡與生產網絡間的單項阻截，阻止來自外部系統的非法訪問、非法攻擊，阻攔病毒、惡意軟件攻擊行為，保護控制系統安全運行。二是蜜罐防護系統。若非法攻擊、惡意程序、病毒等偽裝進入工控網絡，通過建立的蜜罐系統，誘導非法攻擊進入蜜罐機，并對其進行封鎖，獲取非法攻擊相關資料。三是安全審計系統。在生產網與工控網旁路部署網絡檢測與審計設備，實時檢測網絡中的惡意攻擊，詳細記錄網絡流量，識別潛在風險，對惡意操作行為進行取證，便于維護人員管理。四是PLC安全系統。在PLC前端部署安全模塊，實現智能終端設備安全，使PLC具有抵抗ARP、網絡風暴、短鏈接、過濾非業務流量等攻擊的能力，增強設備通信穩定性。

5? ? ?結 語

網絡安全工作與時俱進。以現有的網絡安全技術和管理手段，很難抵擋日新月異的網絡攻擊手段，油氣生產企業網絡安全需要添加諸如入侵監測系統、上網行為管理系統、安全態勢感知系統等軟硬件。在未來，運用大數據技術構建一個網絡安全綜合防御體系，進而提高整體網絡安全管理水平。網絡安全工作沒有捷徑，是一項綜合性的工作，需要企業全員具有網絡安全意識，讓所有員工共同努力，嚴于律己，規范網絡行為，從根源杜絕網絡安全隱患。同時，以網絡安全體系為根本，加強技術跟蹤和研究，提高網絡安全防護與追蹤能力，構建強壯的網絡安全防護系統。網絡安全工作任重道遠。在油氣企業網絡安全體系建設中，主要從管理和技術兩方面開展工作，以加強終端、網絡、軟件、數據的安全管理為目標，以安全入網、分區隔離、縱深防御、統一監控、實時預警為總體策略，強化綜合防護能力，落實安全管理要求，實現網絡安全工作在油氣生產企業實現常態化發展。

主要參考文獻

[1]馬義.大數據時代背景下計算機網絡信息安全防護技術研討[J].電腦知識與技術，2017（25）.

[2]王忠.大數據時代下計算機網絡信息安全問題研究[J].信息與電腦：理論版，2017（15）.

[3]王菲.關于大數據時代的計算機網絡安全及防范措施探討[J].電腦知識與技術，2017（17）.