采油廠計算機網絡信息安全管理方案分析

付 杰

（大慶油田有限責任公司第二采油廠信息中心，黑龍江 大慶 163000）

0 引言

油田信息化建設速度不斷加快，信息技術服務已經融入各個部門，采油廠網絡的覆蓋面積越來越大，計算機總量也不斷增多，隨之出現的網絡信息安全問題越來越多。采油廠如果只通過增加管理人員的方式來保障信息安全，很難取得理想的效果，急需對計算機網絡信息安全防護工作展開研究，提升采油廠計算機網絡的可靠性、穩定性和安全性。

1 采油廠計算機網絡信息安全管理內容

采油廠計算機網絡信息安全管理離不開信息技術的應用，采油廠在計算機網絡管理方面要做好服務器、網絡和計算機的定期維護，以此保障采油廠信息安全。采油廠油氣進井過程中，監控設備發揮著重要作用，如果只采用人工監控的方式，不僅費時費力，效率還很低，而采取自動監控的模式，效率可以得到很大提升，還可實現對配水間、注水井以及油井工作狀態的實時監控，出現問題時可以及時發現并解決。

計算機網絡信息安全管理中的關鍵環節是應用信息安全管理平臺。利用先進的信息技術，配置先進的設備儀器，制定科學合理的措施，實現當前技術的更新和創新，使采油廠信息安全工作管理模式能與時俱進，更好地滿足采油廠工作需求。要積極引入先進的信息技術，開展相關人員信息安全管理知識與技能培訓，保證工作人員能更好地認知信息安全管理，了解系統工作流程，便于后期維護管理。

采油廠要對計算機網絡信息安全管理模式進行分析，首先要充分了解采油廠工作人員結構、基礎設備以及重要信息等內容，掌握采油廠信息安全具體需求，從每個構成部分的需求出發進行設計，制定科學的計算機網絡安全管理措施、管理制度并切實落實，實際執行過程中還需要結合具體情況適當修改管理措施，以提升采油廠信息安全管理平臺的運行效率，使其能更大限度滿足采油廠的信息安全需求。

2 計算機網絡信息安全管理問題研究背景

當前，采油廠計算機數量達到了幾千臺，網絡布局面積在不斷擴增，病毒攻擊的風險也隨之增大，對防范工作提出了更大的挑戰。因此，基于計算機技術制定有效防護措施是目前采油廠急需解決的問題。采油廠的網絡線路規模擴增速度不斷提升，而且生產網、辦公網和變電所專網等網絡混合應用，還有部分正處于建設中。建設完工后，光纜長度以及接入終端需求都會增加。因此，網絡安全和穩定顯得尤為重要。

大慶油田第二采油廠將高危終端自動化隔離以及攻擊入侵的主動防御作為信息安全工作管理中的主要課題展開研究，在保證網絡安全的基礎上，深入研究采油廠主干網、工控機設備、物聯網傳感器以及應用系統間聯通技術，進一步加大采油廠網絡安全預防和保護力度。

3 計算機網絡信息安全管理方案

3.1 制定安全管理方案

安全性檢測是連接企業網與計算機終端的前提和基礎，首先，要確定好具體的安全管理方案和措施，具體包括病毒檢測、軟件安裝檢查、因特網瀏覽器（Internet Explorer，IE）代理檢查、違規外聯檢查、Guest 用戶檢查、進程以及弱口令檢查。

3.2 推送安全管理方案

采油廠推送安全管理方案采取統一模式，通過端點準入控制系統向采油廠計算機終端推送安全管理方案。部署和推送的安全管理方案經計算機檢測合格之后，才能將安全管理方案接入網絡，已經入網的計算機如果出現違規操作，采油廠信息安全管理平臺會反饋違規信息，同時對計算機用戶進行在線警示。

3.3 服務器接入方案

采油廠在本地服務器部署小部分應用數據信息，其余大部分信息都部署在云數據中心服務器內。本地服務器的缺陷主要在于操作系統兼容性較差，端點準入客戶端以及終端安全客戶端都不能直接完成安裝，無法推送安全準入方案。所以，首先要采取人工方式配置安全管理方案，設置防火墻隔離，阻止其與外部網絡通信，再完成本地服務器的入網操作。在采油廠內部網絡中，通過漏洞掃描系統來完成掃描工作，如果發現存在中高危漏洞需要及時修復，經掃描確認通過以后，才能與外網進行通信。系統管理員負責向云數據中心服務器申請資源，申請通過后數據中心管理員將資源傳輸給系統管理員，系統管理員完成安全配置工作。安全配置工作以《中國石油天然氣集團公司服務器安全配置指南》為標準，保證安全配置符合標準后再部署相關應用，然后掃描漏洞，完成掃描之后才可以應用。此外，還要利用Windows update 補丁進行不定時更新。

3.4 非計算機終端的安全接入方案

非計算機終端包括網絡攝像頭、打印機等，使用過程中應將非計算機終端等級升級到最新版，升級完成以后設置防火墻隔離，阻止其與外網通信，在采油廠內部網絡中掃描漏洞如果發現中高危漏洞需要及時修復，待掃描順利通過以后才能與外網進行通信。

3.5 工控系統接入企業網方案

工業控制系統和采油廠內部其他系統之間應保持相互獨立，兩個獨立區域之間要通過技術方式實現隔離，不允許文件傳輸協議（File Transfer Protocol，FTP）、Telnet、E-Mail 等網絡服務穿越兩個區域邊界，以全面提升生產網和管理網信息傳遞的安全性。此外，還應優化技術隔離手段，利用工業網閘實現和企業間的信息傳遞，信息數據若符合控制網傳輸協議則可以反饋給控制網，除此之外，其他數據無法反饋到控制網。同時，過濾信息內容和協議格式，對其進行嚴格審查，保障生產網和管理網通信的安全性。

工控設備與網絡連通之后，廠級網絡服務器通過工業安全隔離網閘與生產管理層進行數據同步。生產管理層的制造執行系統（Manufacturing Execution Systems，MES）通過工業安全隔離網閘實現客戶端對應用于過程控制的OLE（OLE for Process Control，OPC）服務器的訪問，并完成數據采集，使用OPC 應用數據傳輸功能。管理協同層通用網閘可實現客戶端和服務器的數據同步功能。

4 計算機網絡信息安全管理方案的實現

4.1 進程檢查方案

進程檢查方案部署在端點準入控制系統終端，必須安裝桌面安全管理軟件，確保計算機新入網時能進行安全進程檢查，檢查通過以后才能入網，已經入網的計算若進程無效，則會有修復提醒。

4.2 弱口令檢查方案

弱口令檢查方案部署在端點準入控制系統終端，根據集團密碼復雜程度的要求來進行檢測，密碼長度至少12 位，不能含有用戶名，不能含有用戶真實姓名中2 個以上連續字符，至少包括數字、英文大寫字母、英文小寫字母和特殊字符中的3類，無論是否入網，只要檢查未通過，都會將違規信息反饋給變冷媒流量多聯系（Variable Refrigerant Volume，VRV）管理平臺，用戶在下一次開機后必須進行修改。

4.3 Guest 用戶檢查方案

Guest 用戶檢查方案部署在端點準入控制系統終端，默認狀態為禁用賬號，如果啟用就必須保證其符合集團密碼設定要求，無論是否入網，只要沒有通過檢查，都會將違規信息反饋給信息安全管理平臺，用戶在下一次開機后必須進行修改。

4.4 違規外聯檢查方案和IE 代理檢查方案

違規聯網監督控制是利用探頭嗅探萬網地址實現的，周期為一分鐘，如果計算機終端存在違規外聯現象，就會將相應信息反饋到信息安全管理平臺，計算機端則會有提醒非法網絡連接斷開的提醒。IE 代理檢查方案中只有集團建立的互聯網代理地址為正規，其余地址均為違規代理，基于這種方式，反饋違規信息后，計算機終端會有網絡連接斷開提醒。

4.5 安裝軟件檢查方案

桌面安全管理系統設定為必須安裝的軟件，Virtual Network Console、Teamview 等設定為違規軟件，推送提醒并將違規信息反饋給信息安全管理平臺。

4.6 防病毒檢查方案

完成進程檢查方案和安裝軟件檢查方案的推送之后，將殺毒軟件的狀態設定為有效，而且是一直有效。采油廠計算機數量較多，統一或是自動進行病毒查殺和漏洞修復，服務器宕機發生率會很高，因此，通常會采取分段定期掃描和查殺病毒的方式。

5 結語

采油廠高度重視計算機網絡信息安全管理，其信息安全管理水平的提高需要從管理力度和技術水平兩方面同時加強。制定有效的信息安全總體解決措施，保證其高效落實，建立信息安全防護系統，為信息網絡運行的穩定性、可靠性和安全性提供保障；制定信息安全應急預案要從采油廠具體情況出發，及時、高效處理突發事件，保證采油廠信息系統正常運行。