石油化工行業中網絡安全運營的探索與思考

摘要：雖然信息技術的飛速發展為我們的生活帶來了諸多便利，但在推進信息化建設的同時必須對信息安全問題加以重視。石油化工企業屬于國家能源行業的重點企業，必須對其加強安全管理，只有將安全管理措施落實到每個環節，才可為行業信息安全建設提供有力保障。

關鍵詞：石油化工;信息安全;運營

中圖法分類號：TP393

文獻標識碼：A

Exploration and reflection on network security operation inpetrochemical industry

QLN Zeyuan

（Armed Department of Security Department （Division） of Southwest Petroleum University， Chengdu 610500. China）

Abstract： Although the rapid development of information technology has brought a lot of convenienceto our life， we must pay attention to the issue of information security while promoting theconstruction of information technology. Petrochemical enterprises are key enterprises in the nationalenergy industry and must strengthen their safety management. Only by implementing safetymanagement measures in every link can they provide a strong guarantee for the construction ofindustry information security.

Key words： petrochemical industry， information security， operate

目前，我國石油化工行業不斷發展，我們應當關注其安全性和可靠性。由于信息安全事故頻發，相關企業受到了不小的損失。而信息技術的發展為石油化工行業的信息安全奠定了良好的基礎。

1 網絡安全的發展背景

網絡安全是在信息系統的應用和業務量持續增大的基礎上發展起來的。信息系統與網絡安全相互依存，期間經歷了由局部到整體、由表及里、由外到內的發展歷程。網絡威脅主體從個人逐漸發展到組織，其對單位和個人的影響較大。由于病毒以代碼形式對系統造成破壞，因此網絡安全防護逐漸發展成為對信息的系統性、整體性、立體防護等方面，網絡安全也更加受到人們的重視。網絡安全運營作為網絡安全常規保障建設的一項重要內容，必須堅持網絡安全的整體性、動態性、開放性、相對性、共同性原則。隨著業務需求變化、業界技術發展、國家安全應對措施的調整，我們需要對網絡安全進行同步謀劃、部署、推進與實施。

2 網絡安全運營的基本模式

2.1 網絡安全運營架構

網絡安全運營架構主要以人、流程、信息系統的安全為要素，從而制定出科學的防護措施，建立起網絡安全防御系統，同時要符合國家安全等級的相關標準要求。利用信息安全體系的框架，遵循安全目標、安全制度、安全方針、規范流程等方面進行合理約束，可以對石油化工行業的管理范圍、程序及職責進行有效界定，確保網絡信息安全工作能高效、有序地進行。從技術的層面而言，采取偶從網絡鏈接層面、物理層面的安全防護技術措施，創建從物理環境到安全技術的管理體系，可以對網絡安全區域進行合理規劃。將防火墻、防病毒、垃圾郵件過濾等防護類技術從物理層部署到應用層，可以創建完整的網絡安全防御管理體系[1]。

2.2 網絡安全管理目標

石油化工行業的網絡安全管理目標是對企業的內部信息資源進行有效保護。網絡安全運營活動包含四個方面的內容：第一，安全信息監控管理。首先基于網絡風險管理對系統內的安全報警行為進行初步判斷，然后通過判斷結果提交安全事件任務，再與歷史監控情況做比較，對安全監控的策略進行合理調整，從而對安全行為自然形成分析日志，進而提前介入和預判安全狀態;第二，消除與阻隔安全威脅。落實安全事件的事前、事中、事后處理責任，追溯安全事件本源，并查找發生安全事件的相關原因，總結相關的經驗，制定安全事件的處理預案，科學調整安全技術策略;第三，對網絡操作行為進行合規性安全審計。調整企業網絡的安全管理制度標準，并對安全技術策略進行有效落實，將相關制度與流程調整到最佳狀態;第四，評估安全風險。利用人工檢查和合理的技術方法對信息系統的弱點與短板進行評估，不斷地提升技術優化策略。其中，包含企業網絡運營安全的全部內容，即在安全技術得到保障的前提下，建立全面統一的安全管理中心，并圍繞相關的安全管理資源，獲得安全數據和安全產品。在進行安全態勢感知的同時，需要對日常安全管理進行統一指揮與調度，并對安全事件進行安全檢測與應急處理。利用安全中心對企業網絡持續進行監測、監控、整改、評估、指揮、調度等，可以形成網絡安全運營的閉環管理。

3 石油化工行業網絡安全管理的重點

在信息化技術水平的持續提升下，如何保障網絡信息安全已經成為一個社會性難題。石化企業作為國家重要的能源企業，十分容易成為網絡攻擊的對象。岡此，石油化工企業的信息安全管理特別重要，其巾要注意以下三個方面。

（l）石油化工企業的內部相關應用非常復雜，包含工程、施工、銷售等相關的石油化工業務，其業務內容也非常煩瑣。近年來，計算機信息技術與信息存儲技術快速發展，若要確保企業內部的業務系統可應對變幻莫測的市場競爭與變化，企業內部的相關信息結構需要從分層架構轉變為微服務敏捷架構。在市場供給方面，工藝云轉變為工業互聯網。隨著時間的推移，我國石油化工企業的信息化質量還會持續提升，甚至成為世界網絡運營的安全標桿。

（2）石油化工企業的網絡覆蓋范圍非常廣，涵蓋的大數據終端數日繁多。當前，石油化工企業的網絡已經覆蓋全球五大洲，涉及30多個國家。當然，其在我國范圍內基本實現全覆蓋，總用戶數高達60萬。石油化工企業的網絡是一個非常龐大的網絡信息系統，不僅網絡終端服務器數量繁多，其信息量也呈爆炸式增長[2]。

（3）石油化工企業的供應鏈非常復雜，雖然相關企業對主體運營建設非常熟悉，并獲得共享服務公司的技術支持，但極度復雜的信息化系統容易導致海量的供應商出現混亂的情況。比如，某石油化工企業的信息軟件服務商多達20家，為其提供網絡技術服務的單位有10多家，因此對龐大的軟件供應鏈進行科學約束是保障石油化工企業的網絡安全的重要手段。

（4）企業內部出現了大量新的業態應用，很多石油化工企業開通了智能工廠、智能油氣山、智能研究院等內部應用系統，多數重點應用支持100多個國家的企業經營管理，提供了基礎設施、網絡安全中間層、主機安全、計算節點等各種相關信息資源。在物聯網與互聯網的相關網絡應用中，出現了支付安全、應用安全、平臺安全、交易安全等眾多的安全威脅因素，對網絡信息安全的維護帶來了前所未有的挑戰。

4 網絡安全管理的現狀

4.1 網絡安全管理的現狀分析

現階段，雖然很多企業都設置了VLAN對外網進行隔離，但其卻無法控制網絡的訪問權限，因此所有的終端用戶通過互聯網的IP地址和MAC地址都可對企業內網進行訪問。究其原因有兩個方面：一是網絡未按照安全域的保護標準等級進行訪問加密控制，由于很多關鍵網絡設備只設置了非常簡單的密碼來對其進行保護，因此任何計算機在不同的網段都可以進行登錄訪問，這對網絡信息安全帶來了很大威脅;二是路由器沒有資動屏蔽不需要的服務，如SNMP控制因素等，以致不能有效識別DDOS 高具。一旦SNMP設置不規范，黑客就能攻擊計算機網絡漏洞，并以此文件為基礎，破解相應的軟件，從而在短時間內攻破密碼，對網絡設備進行控制。雖然一部分網絡設備設置了加密密碼，但黑客也可以通過LOS文件清除密碼，即無須輸入密碼即可登錄，這就給網絡安全帶來了極大威脅。

4.2 信息安全形勢分析

企業內部信息安全的威脅因素可分為兩個方面：一是企業內部下載了惡意軟件，有很多的企業發生過這樣的網絡安全事件：二是部分企業的內部職工缺乏網絡安全意識，進行不當操作致使網絡信息遭到泄漏。此外，部分企業購買了不合法的計算機軟件，導致企業內部信息遭到泄漏。而企業外部信息安全的威脅因素主要是惡意軟件侵入和黑客入侵，其中包括APT和DDOS方面的因素。石油化工企業在進行管理的過程中，一定要重視網絡安全的相關因素，這可以在很大程度上預防網絡攻擊，維護企業的信息安全，同時為企業的經濟效益最大化提供保障。

5 構建企業網絡信息安全系統

為構建企業網絡安全系統，應當從企業網絡信息安全風險的相關因素展開分析，據此為企業的網絡信息安全奠定基礎，從而在技術的持續提升中維護企業的信息安全。如今，石油化工企業都非常重視網絡安全的工作方面，因為其處于復雜的外部環境中。為了滿足網絡安全的可持續發展要求，企業必須遵循國家相關的網絡安全指示，即提高網絡安全的思想意識，如果企業的信息系統遭到破壞，那么會給企業帶來不可估量的損失。為了將企業的網絡安全維護工作提升全局規劃中，需要為企業配置一個標準更高、要求更嚴的網絡安全維護系統。在企業管理部門的引領下，企業內部需要投入大量的人力和物力，從而不斷強化企業信息安全的維護工作。

5.1 創建與完善信息網絡安全體系

究其本質，構建網絡信息安全體系是一種企業管理模式，是為了提升企業的管理水平，同時提升企業內部的數據信息安全，并有效降低企業的負面影響，據此促進企業得到更為長遠的發展。將網絡信息安全管理制度與企業的內部控制策略相結合，制定出企業內部職員操作網絡的參考標準，在以強有力的企業內部控制為基礎的網絡安全管理模式中，可以對企業的安全管理提供保證，為企業管理指明方向。信息安全管理以信息技術為基礎，在信息爆炸式增長的時代環境中，有價值的信息資源非常珍貴，因其很可能帶來非常高的經濟效益。若要提升網絡信息安全工作的質量和水平，必須完善企業內部信息安全的保障體系。在確保企業信息系統平穩運行的前提下，企業的各個管理部門應當積極利用先進的現代管理方法，參考企業的實際發展情況制定出科學、系統的解決方案。

5.2打造高素養運營團隊

為了提高企業的安全運營效率，首先要以企業內部的人力資源為基礎，因為員工是企業發展的“第一生產力”。我們可以將網絡攻擊看成使人與人之間的攻擊與防守，現階段我國缺乏高素質的網絡人才，網絡人才不僅需要具備超高的網絡技術，更要求有良好的道德品質。因此，我們應當大力培養網絡科技人才，充分結合世界上最先進的網絡安全經驗，引進國際先進的網絡技術，利用先進的管理理念與技術，為石油化工企業輸送“德才兼備”的網絡安全管理人才。

另外，企業內部也要注重對員工的培養，為企業內部員工提供持續學習與發展的平臺。只有堅持內外結合，才能為石油化工企業提供人才保障，為我國的信息安全管理打下堅實的基礎。同時，我們要對日常安全運營進行科學評估，為企業內部配備高質量的核心人才團隊。企業內部應當設立綜合管理中心，據此對其管理進行全面、有效控制，確保企業安全管理建立信息一體化模式，從而提升企業網絡信息安全管理的應急處理水平。

5.3 企業內部全面布局，提升自動化的信息安全檢測能力

在石油化工企業的資產管理方面來看，由于其資產規模龐大，安全防護水平不均，網絡攻擊者通過疏于管理的老舊資產為主要突破口，對網絡系統進行迂回突破。利用資產測繪對互聯網與物聯網的主干網等邊界信息進行核查，對企業資產的歸屬進行明確劃分，并做好相應的登記臺賬，然后對無主系統進行及時下線或廢除。另外，在資產管理方面，有必要對互聯網企業的敏感信息進行關注，其內容包括郵箱明文的存儲賬號、登錄系統的口令、系統源代碼等，避免將一些重要的企業信息暴露在攻擊者的面前，應該對企業的敏感信息進行持續清理。在情態感知方面，對企業總部的主干網、互聯網出口、區域中心互聯網的出口等關鍵的部位的網絡流量進行重點監控。

通過對企業網絡攻擊者的攻擊路線、攻擊方法進行提煉與分析，可以形成網絡安全的策略方案。同時，我們要對網絡黑客的掃描踩點、權限提升、信息橫向滲透等方面進行精準識別。另外，在企業總部的互聯網出口部署網絡攻擊打擊系統，即利用大數據分析、融合采集網絡信息情報源、情報關聯分析、對惡意的IP訪問地址進行阻止等多項技術，對惡意入侵進行打擊，從而遷移網絡防護窗口，達到“關口檢測，全面阻隔”的效果。另外，利用日志審計技術對系統攻擊者進行探測與控制，并制定關聯分析預警規則，可以對關聯縱深數據進行深度挖掘[3]。

5.4 形成分層次信息安全防御網絡

為構建全方位的網絡防御體系，需要逐漸形成網絡的橫向隔離、縱向加深分層次預防體系。在網絡防御方面，主要有三道防線：第一是企業總部和區域中心加強邊界部署，對來自互聯網的攻擊采取高強度的防護措施：第二是各下屬企業的主干網啟用白名單的訪問策略，對侵入者進行橫向滲透：第三是在數據中心的取暖器邊界啟用雙向的白名單控制策略，以阻斷侵入者的縱向入侵。在網絡信息的主機方面，監控人員可以利用大數據分析技術對入侵者的行為進行感知、辨識、取證與追溯，從而全面提升石油化工企業的網絡信息安全水平。

參考文獻：

[1]黃步余.石油化工集成自動化系統網絡安全策略[J].電氣時代，2011（4）：56-59.

[2]桂寧.石油化工企業網絡信息系統的安全策略[J].石油化工設計，2005（2）：68-70+72.

[3]朱彬.淺析石油化工集成自動化系統網絡安全策略[J].化工設計通訊，2017，43（ 2）：201-202.

作者簡介：

秦澤淵（1985-），研究方向：安全保衛。